Sophos Mobile Manuel utilisateur

Sophos Mobile
Manuel d’administration
Version du produit : 9.6
Table des matières
À propos de cette aide............................................................................................................................ 1
À propos de Sophos Mobile.................................................................................................................... 2
À propos de Sophos Mobile Admin.........................................................................................................3
Tableau de bord............................................................................................................................ 3
Tableaux........................................................................................................................................ 4
Conditions préalables.................................................................................................................... 4
Rôles d’utilisateur.......................................................................................................................... 5
Changement de mot de passe..................................................................................................... 6
Récupération du mot de passe.....................................................................................................6
Étapes principales pour l’administration d’appareils avec Sophos Mobile.............................................. 7
Rapports................................................................................................................................................... 8
Tâches...................................................................................................................................................... 9
Surveillance des tâches................................................................................................................ 9
Alertes.....................................................................................................................................................13
Configuration.......................................................................................................................................... 14
Configuration des paramètres personnels.................................................................................. 14
Configuration des stratégies de mot de passe........................................................................... 15
Configuration des paramètres de l’appli SMC............................................................................ 15
Configuration de la messagerie.................................................................................................. 16
Configuration du contact du service informatique.......................................................................16
Configuration des paramètres de confidentialité.........................................................................16
Paramètres iPhone et iPad......................................................................................................... 17
Certificats du service Apple Push Notification............................................................................ 18
Configurer les destinations AirPlay............................................................................................. 22
Paramètres Android.....................................................................................................................22
Enregistrement de la licence Samsung Knox............................................................................. 25
Configuration de l’intervalle d’interrogation pour les appareils Windows.................................... 25
Vérification de vos licences.........................................................................................................25
Protocole SCEP (Simple Certificate Enrollment Protocol).......................................................... 26
Création des propriétés clients................................................................................................... 27
Configuration du Portail libre-service..................................................................................................... 28
Création des différentes configurations du Portail libre-service.................................................. 28
Création de textes d’inscription...................................................................................................30
Actions disponibles dans le Portail libre-service.........................................................................31
Stratégies de conformité........................................................................................................................ 34
Création d’une stratégie de conformité....................................................................................... 34
Règles de conformité disponibles............................................................................................... 36
Assignation d’une stratégie de conformité aux groupes d’appareils........................................... 42
Vérification de la conformité des appareils................................................................................. 42
Appareils.................................................................................................................................................43
Ajout d’appareils.......................................................................................................................... 43
Inscription des appareils............................................................................................................. 45
Désinscription des appareils....................................................................................................... 52
Gestion des appareils................................................................................................................. 53
Propriétés personnalisées de l’appareil...................................................................................... 72
Inscription par code QR.............................................................................................................. 73
Inscription Zero-touch.................................................................................................................. 75
Inscription Knox Mobile............................................................................................................... 78
Programme d’inscription d’appareils (DEP) Apple...................................................................... 80
Intégration de Duo Security........................................................................................................ 96
Contrôle à distance TeamViewer................................................................................................ 97
Sophos Chrome Security............................................................................................................ 98
(2020/10/20)
Groupes d’appareils............................................................................................................................. 101
Création d’un groupe d’appareils.............................................................................................. 101
Suppression des groupes d’appareils....................................................................................... 101
Utilisateurs............................................................................................................................................ 102
Configuration de la gestion des utilisateurs du Portail libre-service..........................................103
Configuration d’une connexion à l’annuaire externe.................................................................104
Authentification fédérée............................................................................................................. 106
Configuration de la connexion LDAP........................................................................................108
Création d’utilisateurs................................................................................................................ 109
Importation des utilisateurs....................................................................................................... 109
Création de groupes d’utilisateurs.............................................................................................110
Stratégies..............................................................................................................................................111
Utilisation des stratégies d’appareil...........................................................................................112
Création d’une stratégie............................................................................................................ 113
Importation des stratégies à partir d’Apple Configurator.......................................................... 114
Importer un profil d’enregistrement (iOS, iPadOS)................................................................... 115
À propos des stratégies macOS............................................................................................... 115
Configuration de la protection antialtération de Chrome.......................................................... 116
Règles de complexité des mots de passe Windows................................................................ 116
Plug-in Knox Service................................................................................................................. 117
Espaces réservés dans les stratégies...................................................................................... 118
Assignation d’une stratégie....................................................................................................... 119
Application des modifications de stratégie aux appareils......................................................... 120
Désinstallation d’une stratégie de vos appareils.......................................................................120
Télécharger les stratégies......................................................................................................... 121
Configuration des stratégies d’appareils Android Enterprise.................................................... 122
Configuration des stratégies de profil professionnel Android Enterprise...................................139
Configuration des stratégies de conteneur Sophos pour Android............................................ 157
Configuration des stratégies Mobile Threat Defense pour Android.......................................... 172
Configuration des stratégies d’appareils Android......................................................................177
Configuration des stratégies de conteneur Knox...................................................................... 200
Configuration des stratégies d’appareils iOS............................................................................206
Configuration des stratégies de conteneur Sophos pour iOS...................................................246
Configuration des stratégies Mobile Threat Defense pour iOS.................................................261
Configuration des stratégies d’appareil macOS........................................................................264
Configuration des stratégies d’utilisateur macOS..................................................................... 285
Configuration des stratégies Windows Mobile.......................................................................... 307
Configuration des stratégies Windows......................................................................................319
Configuration des stratégies Chrome Security......................................................................... 333
Séries de tâches.................................................................................................................................. 336
Création d’une série de tâches................................................................................................. 336
Types de tâche (Android)..........................................................................................................337
Types de tâches (iOS, iPadOS)................................................................................................340
Types de tâche (macOS).......................................................................................................... 343
Types de tâche (Windows)....................................................................................................... 344
Types de tâche (Chrome OS)...................................................................................................346
Duplication de séries de tâches................................................................................................347
Transférer des séries de tâches............................................................................................... 347
Applis.................................................................................................................................................... 348
Ajout d’une app......................................................................................................................... 349
Installer une app........................................................................................................................350
Désinstallation de l’app............................................................................................................. 351
Paramètres de l’appli (Android)................................................................................................ 352
Paramètres de l’appli (iOS, iPadOS)........................................................................................ 354
Paramètres de l’app (macOS).................................................................................................. 357
Paramètres de l’appli (Windows Mobile)...................................................................................359
(2020/10/20)
Paramètres de l’appli (Windows).............................................................................................. 360
Paramètres des liens Windows MSI......................................................................................... 361
Applis gérées pour iPhones et iPads........................................................................................362
Gestion des apps du Programme d’achat en volume d’Apple..................................................363
Assigner une connexion VPN à une appli iPhone ou iPad.......................................................369
Ajouter une configuration d’appli gérée.................................................................................... 370
Applis Windows......................................................................................................................... 370
Groupes d’apps.................................................................................................................................... 371
Création d’un groupe d’apps.....................................................................................................371
Importation d’un groupe d’apps................................................................................................ 372
Documents professionnels................................................................................................................... 374
Ajout de Documents professionnels..........................................................................................374
Android Enterprise................................................................................................................................376
Installation d’Android Enterprise - Généralités..........................................................................377
Installation d’Android Enterprise (scénario Compte Google Play d’entreprise).........................378
Installation d’Android Enterprise (scénario Domaine Google d’entreprise)............................... 379
Configuration de l’inscription d’un appareil Android Enterprise.................................................382
Gestion des utilisateurs pour Android Enterprise (scénario Domaine Google d’entreprise)..... 383
Verrouillage du profil professionnel...........................................................................................384
Suppression du profil professionnel de l’appareil..................................................................... 385
Suppression du profil professionnel par l’utilisateur..................................................................385
Protection contre la réinitialisation aux paramètres d’usine Android.........................................386
Apps de la boutique Google Play administrée..........................................................................387
Mobile Threat Defense avec Sophos Intercept X for Mobile............................................................... 396
Règles de conformité pour Mobile Threat Defense.................................................................. 397
Utilisation de Sophos Intercept X for Mobile avec un logiciel EMM tiers.................................. 398
Protection d’app Intune........................................................................................................................ 401
Paramétrage de l’intégration de Microsoft Intune..................................................................... 401
Création d’une stratégie de protection de l’app Intune............................................................. 402
Assignation des apps à une stratégie de protection de l’app Intune........................................ 402
Assignation des utilisateurs à une stratégie de protection de l’appli Intune..............................403
Paramètres de la stratégie de protection de l’app Intune (Android)......................................... 404
Paramètres de la stratégie de protection de l’appli Intune (iOS, iPadOS)................................ 409
Création d’administrateurs................................................................................................................... 416
Envoi d’un message aux appareils......................................................................................................417
Conteneur Sophos............................................................................................................................... 418
Configuration de l’inscription d’un conteneur Sophos...............................................................418
Licence Mobile Advanced......................................................................................................... 418
Gestion des applis du conteneur Sophos................................................................................. 419
Réinitialisation du mot de passe du conteneur Sophos............................................................420
Verrouillage et déverrouillage du conteneur Sophos................................................................ 421
Synchronisation du jeu de clés professionnel...........................................................................421
Configurer l’authentification multifacteur pour Sophos Secure Email....................................... 422
Migration vers Sophos Central............................................................................................................ 425
Tâches du super administrateur.......................................................................................................... 426
Configuration des certificats SSL/TLS...................................................................................... 426
Configuration du proxy EAS......................................................................................................426
Configuration du contrôle d’accès réseau.................................................................................426
Configuration de la connexion au serveur de messagerie........................................................426
Configuration de la connexion au serveur proxy...................................................................... 427
Configuration de l’accès au portail............................................................................................427
Configuration des limites de téléchargement de fichiers.......................................................... 427
Activation de la journalisation des audits..................................................................................427
Création des messages système.............................................................................................. 428
Gérer les clients........................................................................................................................ 428
Recevoir l’actualité Sophos....................................................................................................... 428
(2020/10/20)
Affichage de l’état de sécurité du système...............................................................................429
Glossaire...............................................................................................................................................430
Support technique................................................................................................................................ 432
Mentions légales.................................................................................................................................. 433
(2020/10/20)
Sophos Mobile
1 À propos de cette aide
Ce manuel vous fournit des informations sur la console d’administration Sophos Mobile Admin et
vous explique en détails les procédures à suivre.
Les descriptions concernent les installations locales et SaaS de Sophos Mobile.
Retrouvez plus de renseignements sur les autres versions de ce manuel sur la page Web de la
documentation de Sophos Mobile.
Copyright © Sophos Limited
1
Sophos Mobile
2 À propos de Sophos Mobile
Sophos Mobile
Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et
d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec
Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits
de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les applis de conteneurs
sécurisés et la compatibilité avec les conteneurs natifs dans iOS, iPadOS, Android Enterprise et
Samsung Knox garantissent la séparation des données professionnelles sensibles et des données
personnelles sur l’appareil mobile.
Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix
et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils
mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs,
assure la sécurité de vos données professionnelles et la confidentialité des données personnelles.
Sophos Intercept X for Mobile
Sophos Intercept X for Mobile protège vos appareils mobiles sans affecter leurs performances
ni l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos
Intercept X for Mobile d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité.
L’appli offre également la détection des applications potentiellement indésirables (PUA), des
conseillers confidentialité et sécurité, la protection contre la perte et le vol des données, la protection
du Web, et bien plus encore.
Sophos Secure Workspace
Sophos Secure Workspace est une appli de gestion du contenu mobile en conteneur. Elle permet de
protéger, de gérer et de distribuer les documents professionnels et le contenu web en toute sécurité.
Modifiez des documents Office dans le conteneur pour garantir la protection du contenu chiffré.
La technologie anti-phishing protège les utilisateurs contre les liens malveillants présents dans les
documents et tout autre contenu.
Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès
au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée
avec Sophos SafeGuard Encryption, l’appli Sophos Secure Workspace permet d’échanger en toute
sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les
utilisateurs de systèmes Windows, Mac, iPhone, iPad et Android.
Sophos Secure Email
Sophos Secure Email est une appli de conteneur de messagerie complète et sécurisée. Elle vous
permet d’isoler les emails, les agendas et les contacts professionnels des données privées sur un
appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont protégées
par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de conformité
définies pour l’appareil. Sophos Secure Email permet également au service informatique de fournir la
même messagerie professionnelle sécurisée sur différents appareils et systèmes d’exploitation.
2
Copyright © Sophos Limited
Sophos Mobile
3 À propos de Sophos Mobile Admin
Sophos Mobile Admin est l’instrument central permettant d’administrer les appareils avec Sophos
Mobile. Elle est l’interface Web du serveur utilisée pour l’administration des appareils. Grâce au
portail Web, vous pouvez mettre en place une stratégie d’entreprise pour l’utilisation des appareils et
l’appliquer à tous les appareils inscrits dans Sophos Mobile.
Sophos Mobile Admin vous permet de :
•
Configurer le système (par exemple, les paramètres personnels ou les paramètres de la plateforme).
•
Configurer les stratégies de conformité et définir les actions à prendre si les appareils ne sont
plus conformes aux règles fixées. Retrouvez plus de renseignements à la section Stratégies de
conformité (page 34).
•
Inscrire les appareils à Sophos Mobile. Retrouvez plus de renseignements à la section Ajout
d’appareils (page 43).
•
Approvisionner les nouveaux appareils. Retrouvez plus de renseignements à la section Inscription
des appareils (page 45).
•
Installer les apps sur les appareils inscrits. Retrouvez plus de renseignements à la section Applis
(page 348).
•
Définir les stratégies de sécurité pour les appareils. Retrouvez plus de renseignements à la section
Stratégies (page 111).
•
Créer des séries de tâches afin de regrouper plusieurs tâches et les transférer aux appareils en
une seule transaction. Retrouvez plus de renseignements à la section Séries de tâches (page
336).
•
Configurer les paramètres du Portail libre-service. Retrouvez plus de renseignements à la section
Configuration du Portail libre-service (page 28).
•
Effectuer les tâches administratives sur les appareils, par exemple, réinitialiser le mot de passe
des appareils, verrouiller ou réinitialiser les appareils en cas de vol ou de perte, désinscrire les
appareils. Retrouvez plus de renseignements à la section Gestion des appareils (page 53).
•
Créer et voir des rapports. Retrouvez plus de renseignements à la section Rapports (page 8).
3.1 Tableau de bord
Remarque
Cette section s’applique à la page Tableau de bord des administrateurs habituels. Pour le super
administrateur, la page Tableau de bord sert à pour administrer les clients. Retrouvez plus de
renseignements dans le Guide du super administrateur de Sophos Mobile (anglais).
Le Tableau de bord personnalisable est la page de démarrage de Sophos Mobile et permet
d’accéder aux informations les plus importantes en un clin d’œil. Il est composé de différents widgets
fournissant des informations sur :
•
Les appareils (tous les appareils ou les appareils par groupe).
•
L’état de conformité par plate-forme ou de tous les appareils.
•
L’état d’administration par plate-forme ou de tous les appareils.
Copyright © Sophos Limited
3
Sophos Mobile
•
L’état d’enregistrement au PLS.
•
Les versions des plates-formes administrées
Vous pouvez également ajouter des appareils à partir du Tableau de bord. Retrouvez plus de
renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 47).
Les options de personnalisation du Tableau de bord suivantes sont disponibles :
•
Pour ajouter un widget à la page, cliquez sur Ajouter un widget.
•
Pour supprimer un widget de la page, cliquez sur le bouton Fermer dans son en-tête.
•
Pour réinitialiser la page à l’affichage par défaut, cliquez sur Rétablir la disposition par défaut.
•
Réorganisez les widgets sur la page en les faisant glisser par leur en-tête.
3.2 Tableaux
Dans Sophos Mobile Admin, la majorité des pages affichent les informations sous la forme d’un
tableau.
Ces tableaux offrent des options de commande que vous pouvez utiliser.
Au-dessus du tableau :
•
Utilisez l’icône Afficher ou masquer des colonnes pour configurer les colonnes du tableau que
vous souhaitez voir.
•
Saisissez du texte dans le champ Rechercher pour afficher uniquement les rangées de
données contenant ce texte dans les colonnes.
Dans le tableau :
•
Cliquez sur une en-tête de colonne pour trier les rangées du tableau en fonction de cette
propriété. Cliquez de nouveau pour inverser l’ordre de tri.
•
Cliquez sur un nom d’entrée pour effectuer l’action par défaut sur cette entrée (généralement
Modifier).
•
Cliquez sur le triangle bleu à côté du nom pour effectuer plus d’actions sur cette entrée.
En dessous du tableau :
•
Utilisez les boutons de navigation pour afficher une page spécifique du tableau.
•
Utilisez l’icône Exporter pour exporter soit le tableau tout entier, sot la page en cours dans un
fichier Microsoft Excel ou dans un fichier CSV. Si vous avez configuré un filtre de rangée, seules
les rangées affichées seront exportées.
3.3 Conditions préalables
Avant d’utiliser Sophos Mobile Admin :
4
•
Votre ordinateur doit être connecté à Internet et disposer d’un navigateur Internet. Retrouvez plus
de renseignements sur les navigateurs pris en charge et sur les versions correspondantes dans les
Notes de publication de Sophos Mobile.
•
Le super administrateur doit avoir créé un client (un « locataire » dont les appareils sont
administrés dans Sophos Mobile). Retrouvez plus de renseignements dans le Guide du super
administrateur de Sophos Mobile (anglais).
Copyright © Sophos Limited
Sophos Mobile
Remarque
Sur Sophos Mobile (version SaaS), un client est prédéfini. Les super administrateurs ne sont
pas compatibles avec Sophos Mobile (version SaaS).
•
Vous devez disposer d’un compte d’utilisateur Sophos Mobile et des codes d’accès correspondant
pour vous connecter à Sophos Mobile Admin. Les codes d’accès nécessitent de remplir les
champs Client, Utilisateur et Mot de passe.
3.4 Rôles d’utilisateur
Les administrateurs Sophos Mobile remplissent des rôles différents. Le rôle a un effet sur les actions
que l’administrateur peut mener.
Les rôles disponibles sont :
Rôle
Description
Administrator
Ce rôle peut effectuer toutes les opérations disponibles.
Limited Administrator
Ce rôle peut inscrire et administrer les appareils mais ne peut
pas définir de paramètres essentiels et ne peut pas gérer
d’autres administrateurs.
Reporting
Ce rôle peut afficher la liste des appareils et peut créer des
rapports. Par exemple, un auditeur ou un employé qui a
besoin d’informations sur les paramètres utilisés dans Sophos
Mobile.
Content admin
Ce rôle est confié aux employés responsables du
téléchargement, de la mise à jour ou de la suppression
de documents. Généralement ce rôle est assigné à une
personne ne faisant pas partie du service informatique. Les
autorisations sont définies de manière à limiter la visibilité et
l’accès exclusivement au contenu du menu Documents.
Helpdesk
Ce rôle peut effectuer des opérations de support, notamment
l’inscription d’appareils et l’installation d’applis. Ce rôle n’a
pas accès aux fonctions vitales telles que la définition des
paramètres et la création, la suppression ou la modification
d’appareils, de groupes d’appareils, de packages et de
stratégies.
Read-only
Ce rôle a un accès en lecture seule à tous les paramètres
disponibles au rôle Administrator.
Appli Group Administrator
Ce rôle peut administrer les groupes d’applis. Un utilisateur
classique sera un administrateur qui accède à l’interface de
services Web Sophos Mobile pour créer, mettre à jour ou lire
des groupes d’applis.
Copyright © Sophos Limited
5
Sophos Mobile
Rôle
Description
Duo API
Ce rôle est nécessaire à l’intégration au logiciel
d’authentification Duo Security. Les administrateurs
remplissant le rôle Duo API ont accès à l’interface du service
Web Sophos Mobile pour demander l’état d’administration des
appareils.
Retrouvez plus de renseignements à la section Intégration de
Duo Security (page 96).
Conseil
La fonction d’éditeur de rôle est livrée avec Sophos Mobile. L’éditeur de rôle vous permet de
modifier facilement les rôles d’utilisateur existants ou de créer vos propres rôles personnalisés.
Vous pouvez le trouver dans le dossier %MDM_HOME%\tools\Wizard où %MDM_HOME%
correspond au dossier d’installation de Sophos Mobile.
Tâches connexes
Création d’administrateurs (page 416)
3.5 Changement de mot de passe
Vous pouvez changer de mot de passe à tout moment de votre choix après vous être connecté à
Sophos Mobile Admin :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Changer le mot de passe.
2. Saisissez votre ancien mot de passe, votre nouveau mot de passe et confirmez-le.
3. Cliquez sur Enregistrer.
3.6 Récupération du mot de passe
En cas d’oubli de votre mot de passe de connexion à Sophos Mobile Admin, vous avez la possibilité
de le réinitialiser.
1. Dans la boîte de dialogue de Connexion de Sophos Mobile Admin, cliquez sur Mot de passe
oublié ?.
La boîte de dialogue Réinitialiser le mot de passe apparaît.
2. Saisissez les informations de votre compte et cliquez sur Réinitialiser le mot de passe.
Vous allez recevoir un email contenant un lien vous permettant de réinitialiser votre mot de passe.
3. Cliquez sur le lien.
La boîte de dialogue Changer le mot de passe apparaît.
4. Saisissez un nouveau mot de passe, confirmez-le et cliquez sur Changer de mot de passe.
Votre mot de passe a été changé et vous êtes connecté à Sophos Mobile Admin.
6
Copyright © Sophos Limited
Sophos Mobile
4 Étapes principales pour l’administration
d’appareils avec Sophos Mobile
Sophos Mobile offre un large éventail de fonctions d’administration selon le type d’appareils utilisés,
les stratégies de sécurité et les exigences spécifiques de votre organisation.
Les étapes principales pour l’administration d’appareils avec Sophos Mobile sont :
•
Configurer les stratégies de conformité pour les appareils. Retrouvez plus de renseignements à la
section Stratégies de conformité (page 34).
•
Créer des groupes d’appareils. Retrouvez plus de renseignements à la section Création d’un
groupe d’appareils (page 101).
Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Nous vous
conseillons de regrouper les appareils. De cette manière, vous pourrez les gérer de manière plus
efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareil individuellement.
•
Inscrire et approvisionner des appareils. Retrouvez plus de renseignements aux sections Ajout
d’appareils (page 43) et Inscription des appareils (page 45).
Les appareils peuvent être inscrits et approvisionnés par les administrateurs dans Sophos
Mobile Admin ou par les utilisateurs des appareils via le Sophos Mobile Self Service Portal.
•
Créer des stratégies pour les appareils. Retrouvez plus de renseignements à la section Stratégies
(page 111).
•
Créer des séries de tâches. Retrouvez plus de renseignements à la section Séries de tâches (page
336).
•
Configurer les fonctions disponibles du Sophos Mobile Self Service Portal. Retrouvez plus de
renseignements à la section Configuration du Portail libre-service (page 28).
•
Appliquer de nouvelles stratégies ou des stratégies mises à jour aux appareils inscrits.
Copyright © Sophos Limited
7
Sophos Mobile
5 Rapports
Vous pouvez créer des rapports sur les éléments gérés par Sophos Mobile.
1. Sur le menu latéral, sous INFORMATION, cliquez sur Rapports et cliquez sur le nom du rapport
désiré.
2. Dans la boîte de dialogue Choisir le format, cliquez sur l'une des icônes disponibles pour
sélectionner le format de sortie désiré :
•
•
Cliquez sur
pour exporter le rapport dans un fichier Microsoft Excel.
Cliquez sur
pour exporter le rapport dans un fichier CSV.
Le rapport est enregistré sur votre ordinateur.
8
Copyright © Sophos Limited
Sophos Mobile
6 Tâches
La page Vue des tâches vous donne un aperçu de toutes les tâches créées et exécutées et affiche
leur état actuel.
Vous pouvez surveiller toutes vos tâches et intervenir en cas de problèmes. Par exemple, vous
pouvez supprimer une tâche qui est impossible à accomplir et qui bloque l’appareil.
Pour supprimer une tâche, cliquez sur l’icône Supprimerapparaissant à côté de son nom.
Vous pouvez filtrer les tâches par type et par état et les trier par nom d’appareil, nom de package,
nom de la personne les ayant créées et la date à laquelle elles sont planifiées.
6.1 Surveillance des tâches
Sophos Mobile Admin vous permet de surveiller toutes les tâches existantes pour les appareils.
•
La page Tâches vous indique toutes les tâches qui ont échoué, qui ne sont pas encore
terminées ainsi que celles qui ont été effectuées récemment. La page Vue des tâches est
actualisée automatiquement. Vous pouvez donc suivre l’évolution des états des différentes
tâches.
•
La page Détails de la tâche vous donne des informations générales sur une tâche à partir de la
page Tâches ou de la page Archive des tâches.
•
La page Archive des tâches affiche toutes les tâches.
6.1.1 Affichage des tâches non terminées, en échec et
récemment terminées
1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.
2. Sur la page Vue des tâches, la colonne État indique l’état d’une tâche, par exemple Échec total.
3. Dans le champ Intervalle de rafraîchissement (en sec.), vous pouvez sélectionner la fréquence à
laquelle la page Vue des tâches est rafraîchie :
4. Retrouvez plus de renseignements sur une tâche en cliquant sur l’icône en forme de loupe
Afficher correspondant à la tâche désirée.
La page Détails de la tâche apparaît. En plus des informations générales sur la tâche (par
exemple le nom de l’appareil, le nom du package et le créateur), cette vue affiche les états passés
d’une tâche spécifique y compris l’horodatage et les codes d’erreur. Si des commandes doivent
être exécutées par l’appareil, un bouton Détails supplémentaire est disponible sur la page Détails
de la tâche.
5. S’il est disponible, cliquez sur Détails pour voir les commandes à traiter par l’appareil.
S’il n’y a eu aucune erreur, le code d’erreur est 0. En cas d’échec d’une commande, le code
d’erreur est affiché. Dans la majorité des cas, une description de la cause de l’échec de la
commande est également affichée.
6. Pour retourner sur la page Détails de la tâche, cliquez sur Précédent.
Copyright © Sophos Limited
9
Sophos Mobile
6.1.2 Affichage de la vue Archive des tâches
1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.
2. Sur la page Vue des tâches, cliquez sur Archive des tâches.
La page Archive des tâches apparaît. Elle affiche toutes les tâches terminées ou en échec sur le
système.
3. Cette page vous permet de :
•
Cliquer sur Recharger pour rafraîchir la page Archive des tâches.
•
Supprimer une tâche de l’archive en cliquant sur l’icône Supprimer correspondant à la tâche.
•
Sélectionner plusieurs tâches et cliquez sur Supprimer la sélection pour les supprimer de
l’archive.
Pour retourner sur la page Vue des tâches, cliquez sur Tâches dans le menu latéral.
6.1.3 État des tâches
Le tableau suivant vous donne une vue générale de l’état des tâches indiqué sur les pages Vue des
tâches et Archive des tâches.
Chaque état est associé à un code couleur qui indique la catégorie de l’état.
Code
couleur
10
État
Description
Accepté
La tâche a été créée.
Sera réessayé
Une nouvelle tentative d’exécution de la tâche sera
effectuée ultérieurement.
Démarré
La tâche a été démarrée.
En cours
L’exécution de la tâche est en cours de préparation.
Série de tâches en cours
L’exécution de la série de tâches est en cours de
préparation.
Notifié
L’app Sophos Mobile Control a été notifiée.
Commandes envoyées
L’app Sophos Mobile Control a reçu le package et/ou
les commandes.
Évaluation des résultats
démarrée
L’app Sophos Mobile Control a répondu et l’évaluation
des résultats a démarré.
Résultat incomplet
L’évaluation des résultats indique que les résultats
des commandes n’ont pas encore tous été reçus.
Copyright © Sophos Limited
Sophos Mobile
Code
couleur
État
Description
En attente de
l’interaction de
l’utilisateur
Une action de l’utilisateur est en attente sur l’appareil.
En attente de fin de la
tâche
Une tâche d’installation a été envoyée à l’appareil
mais peut prendre un certain temps à être effectuée.
L’appareil est verrouillé
La tâche attend que l’appareil soit déverrouillé (iOS).
Succès
Le package a été installé ou les commandes ont été
exécutées avec succès.
Remarque
pour l’approvisionnement initial de l’app Sophos
Mobile Control, la tâche doit se terminer avec
l’état Installé.
Installé
L’app Sophos Mobile Control a été installée avec
succès. L’appareil est maintenant approvisionné.
Échec de l’évaluation
des résultats
L’évaluation des résultats n’a pas pu être exécutée.
Échec partiel de la tâche
Les commandes de la tâche n’ont pas pu toutes être
exécutées avec succès.
Retardé
La tâche sera redémarrée ultérieurement.
Échec (nouvelle mise en
file d’attente)
La tâche a échoué et une nouvelle tentative
d’exécution sera effectuée ultérieurement.
Échec de la tâche
La tâche a échoué et aucune autre tentative
d’exécution est en file d’attente.
Échec total
La tâche a échoué et il est impossible de réessayer.
Non démarré
La tâche fait partie d’une série de tâches et n’a pas
encore été traitée.
Ignoré
La tâche est ignorée car elle n’est pas prise en charge
par l’appareil.
Inconnu(e)
Le serveur n’a aucune information sur l’état de la
tâche.
Copyright © Sophos Limited
11
Sophos Mobile
Code
couleur
Catégorie
Ouvrir
En cours
Succès
Échec
Autre
12
Copyright © Sophos Limited
Sophos Mobile
7 Alertes
La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part.
Pour chaque alerte, la liste indique l’événement qui a causé l’alerte, lorsqu’il a eu lieu et quel
utilisateur et appareil sont concernés.
La liste répertorie également la sévérité des alertes :
Signe d’informations gris pour les alertes pour information.
Signe d’avertissement orange pour les alertes de priorité moyenne.
Signe d’avertissement rouge pour les alertes de priorité élevée.
Confirmer la réception des alertes
Sélectionnez une ou plusieurs alertes et cliquez ensuite sur Marquée comme confirmée pour
supprimer les alertes sélectionnées de la liste. Pour afficher les alertes dont la réception a été
confirmée, sélectionnez Afficher les alertes confirmées dans la liste déroulante au-dessus du
tableau.
Remarque
La confirmation de réception d’une alerte ne résout pas l’événement qui l’a déclenchée.
Attention
Les alertes sont automatiquement supprimées de la base de données Sophos Mobile après
90 jours, même si vous avez confirmé leur réception.
Créer des rapports par email pour les alertes
Sophos Mobile envoie des rapports par email sur toutes les alertes dont la réception n’a pas encore
été confirmée. Retrouvez plus de renseignements sur la création d’une liste de destinataires et d’un
programme de notification à la section Configuration de la messagerie (page 16).
Quels événements déclenchent les alertes ?
Les alertes sont créées pour les événements suivants :
•
Violations de conformité pour lesquelles vous avez activé l’action Créer une alerte.
•
Modifications du cycle de vie de l’appareil et actions importantes sur l’appareil.
•
Expirations imminentes des licences et certificats.
•
Autres événements nécessitant votre attention.
Si Sophos Intercept X for Mobile est géré par Sophos Mobile, il crée des alertes pour les problèmes
de sécurité et les pages Web bloquées.
Copyright © Sophos Limited
13
Sophos Mobile
8 Configuration
La section du menu Configuration vous permet de configurer le comportement général de Sophos
Mobile, l’interaction avec les appareils et l’interaction avec les composants externes comme les
portails de Google ou d’Apple.
8.1 Configuration des paramètres personnels
Vous pouvez régler l’apparence de Sophos Mobile Admin selon vos préférences personnelles. Par
exemple, vous pouvez définir la langue, le fuseau horaire ou les plates-formes d’appareils visibles.
Remarque
Ces paramètres affectent uniquement le compte d’administrateur auquel vous êtes actuellement
connecté.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Personnel.
2. Configurez les paramètres suivants :
Option
Description
Langue
La langue de l’interface d’utilisation.
Fuseau horaire
Le fuseau horaire dans lequel les dates sont affichées.
Système de mesure
Le système de mesure pour les unités de longueur (Métrique
ou Impériale).
Lignes par page dans les
tableaux
Le nombre maximale d’entrées affichées par page.
Mode Expert
Ce paramètre active les fonctions supplémentaires :
Plates-formes activées
•
La page Affichage de l’appareil inclut l’onglet Propriétés
personnalisées avec vos propriétés personnalisées de
l’appareil.
•
La page Affichage de l’appareil inclut l’onglet Propriétés
internes avec les propriétés personnalisées signalées par
l’appareil.
•
Plusieurs pages de configuration de la stratégie incluent
la section Paramètres supplémentaires permettant de
configurer les paramètres optionnels.
Les plates-formes d’appareil que vous voulez voir.
Sophos Mobile Admin affiche uniquement les pages et
paramètres des plates-formes sélectionnées.
3. Cliquez sur Enregistrer.
14
Copyright © Sophos Limited
Sophos Mobile
8.2 Configuration des stratégies de mot de passe
Pour appliquer la sécurité des mots de passe, configurez les stratégies de mot de passe pour les
utilisateurs de Sophos Mobile Admin et du Sophos Mobile Self Service Portal.
Remarque
Les stratégies de mot de passe ne s’appliquent pas aux utilisateurs d’un annuaire LDAP externe.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Stratégies de mot de passe.
2. Sous Règles, vous pouvez indiquer les conditions requises en terme de création d’un mot de
passe, notamment le nombre minimum de minuscules, de majuscules ou de chiffres qu’un mot de
passe doit contenir pour être validé.
3. Sous Paramètres, configurez les paramètres suivants :
a) Intervalle de modification du mot de passe (en jours) : saisissez le nombre de jours de
validité du mot de passe (entre 1 et 730) ou laissez le champ vide pour désactiver l’expiration
du mot de passe.
b) Nombre d’anciens mots de passe ne pouvant pas être réutilisés : sélectionnez une valeur
entre 1 et 10 ou sélectionnez --- pour désactiver cette restriction.
c) Nombre maximal de tentatives ratées de connexion : sélectionnez le nombre de tentatives
ratées de connexion autorisées avant le verrouillage du compte (entre 1 et 10) ou sélectionnez
--- pour autoriser un nombre illimité de tentatives ratées de connexion.
4. Cliquez sur Enregistrer.
8.3 Configuration des paramètres de l’appli SMC
L’onglet Appli SMC de la page Paramètres généraux vous permet de configurer les paramètres de
l’appli Sophos Mobile Control sur les appareils Android, Windows Mobile et sur les iPhones et iPads.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Appli SMC.
2. Configurez les paramètres suivants :
Option
Description
Désactiver la désinscription via Retirez le bouton Désinscrire de l’appli Sophos Mobile Control
l’app
afin d’empêcher les utilisateurs de désinscrire leur appareil à
l’aide de l’appli.
Remarque
Pour empêcher totalement la désinscription par l’utilisateur,
désactivez également l’option Désinscrire l’appareil dans
les paramètres du Portail libre-service. Retrouvez plus
de renseignements à la section Création des différentes
configurations du Portail libre-service (page 28).
3. Cliquez sur Enregistrer.
Copyright © Sophos Limited
15
Sophos Mobile
8.4 Configuration de la messagerie
L’onglet Configuration de la messagerie vous permet de configurer les paramètres des emails que
Sophos Mobile va envoyer.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Configuration de la messagerie.
2. Dans Langue, sélectionnez la langue de l’email.
3. Dans Nom de l’expéditeur, saisissez le nom de l’expéditeur de l’email qui va s’afficher.
4. Facultatif : Sous Paramètres de messages d’alerte, configurez les rapports d’alerte envoyés aux
administrateurs :
a) Dans Gravité, sélectionnez les niveaux de sévérité inclus dans le rapport.
b) Dans Destinataires de l’email, indiquez les destinataires en saisissant une ou plusieurs
adresses électroniques en cours de validité.
c) Dans Planification d’envoi d’email, saisissez l’heure du jour à laquelle le rapport sera envoyé
et cliquez sur Ajouter.
Répétez cette procédure pour envoyer plusieurs rapports par jour.
Remarque
Les heures sont dans le fuseau horaire du serveur.
5. Cliquez sur Enregistrer.
Concepts connexes
Alertes (page 13)
8.5 Configuration du contact du service
informatique
Fournissez les coordonnées du contact du service informatique afin que les utilisateurs obtiennent
de l’aide en cas de questions ou de problèmes.
Les informations que vous saisissez ici sont affichées dans le Portail libre-service et sur les
appareils des utilisateurs.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Contact du service informatique.
2. Saisissez les informations des personnes à contacter.
3. Cliquez sur Enregistrer.
8.6 Configuration des paramètres de confidentialité
Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil.
Vous pouvez désactiver les paramètres de confidentialité suivants :
16
Copyright © Sophos Limited
Sophos Mobile
•
Emplacement de l’appareil
Lorsque cette option est désactivée, vous ne pouvez pas voir l’emplacement de l’appareil. Les
utilisateurs peuvent toujours voir l’emplacement de leur appareil dans le Sophos Mobile Self
Service Portal.
Vous pouvez toujours afficher le rapport Emplacement de l’appareil indiquant le dernier
emplacement connu de tous les appareils.
•
Applis installées
Lorsque cette option est désactivée, vous ne pouvez pas voir les applis installées sur un
appareil.
Vous pouvez toujours voir les rapports sur les applis installées pour tous les appareils.
Pour configurer les paramètres de confidentialité :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Confidentialité.
2. Pour désactiver l’affichage de l’emplacement des appareils, cliquez sur Interdire aux admins de
géolocaliser les appareils.
3. Pour désactiver l’affichage des applis installées, cliquez sur Masquer les applis installées.
Remarque
Sophos Mobile enregistre les événements de confidentialité suivants :
•
Un administrateur demande l’emplacement d’un appareil.
•
Un utilisateur demande l’emplacement d’un appareil dans le Sophos Mobile Self Service
Portal.
•
L’affichage des emplacements des appareils est activé ou désactivé dans Sophos Mobile
Admin.
•
L’affichage des applis installées est activé ou désactivé dans Sophos Mobile Admin.
8.7 Paramètres iPhone et iPad
L’onglet iOS et iPadOS de la page Configuration d’Apple vous permet de configurer les paramètres
des iPhones et iPads.
Paramètre
Description
Contourner le verrouillage d’activation
Les appareils gérés avec le verrouillage
d’activation envoient leur code de
contournement à Sophos Mobile.
Avec le code de contournement, vous pouvez
réactiver l’appareil sans connaitre l’identifiant
Apple et le mot de passe de l’utilisateur
précédent.
Copyright © Sophos Limited
17
Sophos Mobile
Paramètre
Description
Synchronisation du nom de l’appareil
Sophos Mobile utilise le nom que l’utilisateur a
défini sur l’appareil.
Lorsque ce paramètre est désactivé, Sophos
Mobile utilise le nom que vous avez défini lors
de l’inscription de l’appareil.
Information associée
Contourner le verrouillage d’activation Apple (page 63)
Vous pouvez contourner la fonction de verrouillage d’activation Apple et réactiver les iPhone et les
iPad sans connaitre l’identifiant Apple et le mot de passe de l’utilisateur précédent.
8.8 Certificats du service Apple Push Notification
Pour utiliser le protocole Mobile Device Management (MDM) intégré aux iPhones, iPads et
Macs, Sophos Mobile doit utiliser le service de notification push d’Apple (APNs) pour permettre la
communication avec les appareils.
Sophos Mobile gère les certificats APNs par client. Veuillez créer et télécharger les certificats pour
chaque client que vous utilisez.
Les certificats APNs sont valides pendant un an.
8.8.1 Création d’un certificat APNs
Condition préalable : Vous n’avez pas encore téléchargé de certificat du service Apple Push
Notification (APNs) dans Sophos Mobile.
Retrouvez plus de renseignements sur le renouvellement d’un certificat existant à la section
Renouvellement d’un certificat APNs (page 19).
Conseil
Vous pouvez utiliser le même certificat sur plusieurs clients. Retrouvez plus de renseignements
à la section Copie d’un certificat APNs dans un autre client (page 20).
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet APNs.
2. Cliquez sur Assistant de certificat APNs.
3. Sur la page Mode, cliquez sur Créer un certificat APNs.
4. Sur la page CSR, cliquez sur Télécharger la demande de signature du certificat.
Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre
ordinateur local. Le fichier de demande de signature est spécifique au client actuel.
5. Vous allez avoir besoin d’un identifiant Apple. Même si vous avez déjà un identifiant, nous vous
conseillons d’en créer un nouveau que vous utiliserez avec Sophos Mobile. Sur la page Identifiant
Apple, cliquez sur Créer un identifiant Apple sur le portail d’Apple.
Une page Web d’Apple va s’ouvrir sur laquelle vous pouvez créer un identifiant Apple pour votre
entreprise.
18
Copyright © Sophos Limited
Sophos Mobile
Remarque
Conservez les codes d’accès à un endroit sûr et accessibles par vos collègues de travail.
Votre entreprise aura besoin de ces codes d’accès pour renouveler le certificat tous les ans.
6. Dans l’assistant, saisissez votre nouvel identifiant Apple dans le champ Identifiant Apple.
7. Sur la page Certificat, cliquez sur Créer un certificat sur le portail d’Apple.
La page « Apple Push Certificates Portal » s’ouvre.
8. Connectez-vous avec votre identifiant Apple et téléchargez le fichier de demande de signature du
certificat apple.csr.
9. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.
10. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem
récupéré sur la page « Apple Push Certificates Portal ».
11. Cliquez sur Enregistrer.
Sophos Mobile va lire le certificat et afficher les informations sur le certificat dans l’onglet APNs.
8.8.2 Renouvellement d’un certificat APNs
Condition préalable : vous avez déjà téléchargé un certificat pour le service Apple Push
Notification (APNs) dans Sophos Mobile, que celui-ci est sur le point d’expirer et qu’il doit être
renouvelé.
Retrouvez plus de renseignements sur la création d’un nouveau certificat à la section Création d’un
certificat APNs (page 18).
Attention
Sur le portail d’Apple, veuillez impérativement sélectionner le bon certificat APNs à renouveler. Si
vous renouvelez le mauvais certificat, vous devrez inscrire de nouveau tous les iPhones, iPads et
Macs.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet APNs.
2. Cliquez sur Assistant de certificat APNs.
3. Sur la page Mode, cliquez sur Renouveler mon certificat APNs.
4. Sur la page CSR, cliquez sur Télécharger la demande de signature du certificat.
Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre
ordinateur local. Le fichier de demande de signature est spécifique au client actuel.
5. Sur la page Identifiant Apple, l’identifiant Apple utilisé pour créer le certificat APNs initial est
affiché.
Vous avez besoin de cet identifiant pour vous connecter au portail d’Apple.
6. Sur la page Certificat, cliquez sur Renouveler un certificat sur le portail d’Apple.
La page « Apple Push Certificates Portal » s’ouvre.
7. Connectez-vous avec l’identifiant Apple affiché dans l’assistant.
8. Sur Apple Push Certificates Portal, cliquez sur Renew à côté du certificat APNs de Sophos Mobile.
9. Téléchargez le fichier de demande de signature du certificat apple.csr que vous aviez préparé
auparavant.
10. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.
Copyright © Sophos Limited
19
Sophos Mobile
11. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem
récupéré sur la page « Apple Push Certificates Portal ».
12. Cliquez sur Enregistrer.
Attention
Si le message suivant apparaît, ceci signifie que vous n’êtes pas en train de renouveler le bon
certificat :
L’objet du nouveau certificat ne correspond pas à l’ancien. Si les
appareils ont été configurés avec l’ancien certificat, veuillez
les configurer de nouveau. Voulez-vous vraiment enregistrer vos
modifications ?
Ce message vous informe que vous êtes sur le point de créer un nouveau certificat APNs avec un
identifiant différent. Si vous confirmez le message, tous les iPhones, iPads et Macs existants ne
pourront plus être administrés et vous allez devoir les réinscrire.
Retrouvez plus de renseignements sur la sélection du bon certificat à la section Identification du
certificat APNs à renouveler (page 21).
8.8.3 Copie d’un certificat APNs dans un autre client
Vous pouvez copier un certificat du service Apple Push Notification (APNs) dans un autre client sur
la même installation ou sur une installation différente de Sophos Mobile.
Attention
Si un certificat APNs existe déjà dans l’emplacement de destination, la propriété Sujet du certificat
que vous voulez copier doit être identique au Sujet du certificat existant. Si vous copiez le mauvais
certificat, vous devrez réinscrire tous les iPhones, iPads et Macs du client.
Téléchargez le certificat :
1. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous
voulez copier le certificat APNs.
2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet APNs.
3. Veuillez noter la valeur Sujet affichée sous Certificat APNs.
4. Cliquez sur Télécharger le certificat en tant que fichier PKCS #12.
5. Dans la boîte de dialogue de confirmation, le mot de passe du fichier de certificat s’affiche. Veuillez
noter le mot de passe et cliquez sur Télécharger.
Le fichier de certificat apple.csr va être enregistré sur votre ordinateur local.
Téléchargez le certificat sur un autre client :
6. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous
voulez télécharger le certificat.
7. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet APNs.
8. Si un certificat APNs existe déjà, assurez-vous que la valeur du Sujet est identique à la valeur du
certificat que vous êtes sur le point de copier.
9. Cliquez sur Assistant de certificat APNs.
10. Sur la page Mode, cliquez sur Télécharger un certificat APNs à partir d’un autre client Sophos
Mobile.
20
Copyright © Sophos Limited
Sophos Mobile
11. Sur la page Identifiant Apple, saisissez l’identifiant Apple utilisé pour créer le certificat APNs que
vous allez télécharger.
12. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier
apns_cert.p12 que vous avez téléchargé à partir de l’autre client.
13. Saisissez le mot de passe et cliquez sur Appliquer.
14. Cliquez sur Enregistrer.
8.8.4 Identification du certificat APNs à renouveler
Lorsque vous renouvelez votre certificat du service Apple Push Notification (APNs) pour le serveur
Sophos Mobile comme décrit à la section Renouvellement d’un certificat APNs (page 19), veuillez
sélectionner le bon certificat APNs à renouveler sur le portail d’Apple.
Cette section décrit comment identifier le certificat APNs qui a été téléchargé sur le serveur Sophos
Mobile.
Pour récupérer l’identifiant du certificat :
1. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour
lequel le certificat doit être renouvelé.
2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet APNs.
3. Veuillez noter la valeur Sujet affichée sous Certificat APNs.
Pour identifier le certificat :
4. Utilisez votre navigateur pour ouvrir l’URL du portail Apple Push Certificates Portal, https://
identity.apple.com/pushcert/.
Si vous rencontrez des problèmes avec certaines fonctions lors de la consultation du portail
d’Apple avec Microsoft Internet Explorer, nous vous conseillons d’utiliser la dernière version de
Firefox, Opera, Chrome ou Safari à la place.
5. Connectez-vous avec l’Identifiant Apple que vous avez utilisé pour créer le premier certificat APNs.
6.
Dans la liste des certificats APNs, cliquez sur l’icône Info sur le certificat
correspondant à
l’entrée d’un certificat.
Les informations sur le certificat apparaissent.
7. Dans le champ Objet DN, recherchez la valeur affichée après UID=. Si elle correspond à
l’identifiant que vous avez noté dans Sophos Mobile Admin, vous avez trouvé le bon certificat.
8.8.5 Vérification de la connexion des appareils au service
APNs
Sur les iPhones et iPads, les utilisateurs peuvent vérifier si leurs appareils sont en mesure de se
connecter au serveur du service APNs (Apple Push Notification service).
1. Dans l’appli Sophos Mobile Control, appuyez sur l’icône Informations pour ouvrir la vue À propos
de.
2. Appuyez sur Vérifier APNs.
L’appli essaye de se connecter au serveur APNs d’Apple. Le temps de réponse du serveur doit être
de 5 secondes maximum.
Vérifiez les paramètres de votre pare-feu si le serveur APNs ne peut pas être joint. Retrouvez une
liste des connexions requises dans le Guide de déploiement du serveur Sophos Mobile (anglais).
Copyright © Sophos Limited
21
Sophos Mobile
8.9 Configurer les destinations AirPlay
Sophos Mobile vous permet de déclencher à distance la recopie vidéo AirPlay entre un iPhone ou un
iPad et des destinations AirPlay prédéfinies (par exemple AppleTV).
Remarque
AirPlay fonctionne uniquement sur les appareils du même réseau.
Pour définir une destination pour la la recopie vidéo AirPlay :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet AirPlay.
2. Dans la section Destinations AirPlay, cliquez sur Créer une destination AirPlay.
La page Destination AirPlay apparaît.
3. Saisissez le nom de l’appareil et, si vous le voulez, l’adresse MAC de l’appareil de destination
AirPlay. Si nécessaire, saisissez le mot de passe de l’appareil.
4. Cliquez sur Appliquer.
L'appareil apparaît sous Destinations AirPlay sous l’onglet AirPlay de la page Configuration
d’Apple.
5. Cliquez sur Enregistrer.
Pour déclencher la recopie vidéo AirPlay avec cette destination, accédez à la page Affichage de
l’appareil de l’appareil et cliquez sur Actions > Demander la recopie vidéo AirPlay.
8.10 Paramètres Android
L'onglet Android de la page Configuration d’Android vous permet de configurer les paramètres
des appareils Android :
•
Mode d’administration Android (page 22)
•
Hébergement des apps Sophos sur votre serveur Web (page 23).
•
Configurer la synchronisation des appareils Android (page 24).
•
Activation du service Baidu Cloud Push (page 24)
8.10.1 Mode d’administration Android
Pour les appareils Android, vous pouvez choisir entre les modes d’administration Android Enterprise
et Administrateur de l’appareil (ancienne fonction).
22
Android Enterprise
Sophos Mobile Control est le propriétaire de
l’appareil ou du profil et utilise Android Enterprise
pour administrer un appareil ou un emplacement
de travail sur l’appareil.
Administrateur de l’appareil (ancienne
fonction)
Sophos Mobile Control est un administrateur
d’appareils et utilise la gestion des appareils
mobiles (MDM) Android pour administrer un
appareil.
Copyright © Sophos Limited
Sophos Mobile
Google a rendu ce mode de gestion obsolète
et a réduit sa gamme de fonctions. Nous vous
conseillons d’utiliser le mode de gestion Android
Enterprise à la place.
Pour définir le mode de gestion Android, procédez comme suit :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android.
2. Dans Mode de gestion, sélectionnez un mode d’administration pour les appareils Android.
3. Cliquez sur Enregistrer.
Ce paramètre affecte les types de stratégie disponibles disponibles dans l’interface d’utilisation.
Vous devez installer Android Enterprise pour votre organisation avant de pouvoir inscrire des
appareils.
Concepts connexes
Installation d’Android Enterprise - Généralités (page 377)
8.10.2 Hébergement des apps Sophos sur votre serveur Web
Vous pouvez héberger les applis Android installées par les utilisateurs lors de l’inscription, (Sophos
Mobile Control et Sophos Intercept X for Mobile), sur un serveur Web interne plutôt que sur Google
Play.
Attention
• Cette option introduit un risque de sécurité. Lorsque vous hébergez les applis Sophos sur un
serveur Web interne, vous devez généralement autoriser l’installation d’applis hors du cadre
de Google Play.
•
Assurez-vous que la dernière version de l’appli est installée sur les appareils mobiles.
Téléchargez régulièrement la nouvelle version depuis la page Web « Téléchargements et
mises à jour des produits Sophos » sur votre serveur Web et utilisez une série de tâches pour
l’installer sur les appareils.
Pour configurer la source d’installation pour Sophos Mobile Control et Sophos Intercept X for
Mobile :
1. Connectez-vous à Sophos Mobile Admin avec un compte de super administrateur.
2. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android.
3. Sous Sélectionner la source d’installation, sélectionnez Fichier APK hébergé.
4. Saisissez l’URL de Sophos Mobile Control dans URL du fichier SMC APK.
Par exemple, si vous avez copié le fichier APK dans un sous-répertoire smc sous le répertoire
de déploiement de votre serveur Web, saisissez cette URL : <adresse_serveur_web>/smc/
smc.apk
5. De même, saisissez l’URL de l’app Intercept X dans URL du fichier APK d’Intercept X for
Mobile.
Une licence Mobile Advanced est requise.
6. Cliquez sur Enregistrer.
Copyright © Sophos Limited
23
Sophos Mobile
Information associée
Téléchargement et mise à jour des produits Sophos
8.10.3 Configurer la synchronisation des appareils Android
Vous pouvez configurer l’intervalle de synchronisation de l’appli Android Sophos Mobile Control.
La synchronisation de l’app Sophos Mobile Control avec le serveur Sophos Mobile a lieu :
•
Immédiatement lorsqu’elle doit communiquer les modifications ayant eu lieu sur l’appareil.
•
À la demande, lorsque le serveur la déclenche avec les services de notification push Google Cloud
Messaging (GCM) et, en option, avec Baidu Cloud Push.
•
Toutes les 24 heures par défaut.
Si nécessaire, vous pouvez utiliser un intervalle de temps plus court pour la synchronisation
programmée par défaut.
Sur Sophos Mobile (version locale), cette option est configurée par le super administrateur.
Attention
Dans la majorité des cas, vous pouvez utiliser la valeur par défaut de 24 heures. Nous vous
conseillons de changer d’utiliser un intervalle de temps plus court uniquement si les services
de notification Push ne fonctionnent pas sur votre environnement. L’utilisation d’intervalles de
temps plus court à un impact sur l’autonomie de la batterie et sur la consommation de données
et impose une plus grande utilisation des ressources du serveur.
Pour configurer l’intervalle de synchronisation utilisé par l’app Sophos Mobile Control sur les
appareils Android :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android.
2. Sous Intervalle de synchronisation SMC, sélectionnez une valeur dans la liste Intervalle de
synchronisation.
3. Cliquez sur Enregistrer.
8.10.4 Activation du service Baidu Cloud Push
Sophos Mobile utilise le service Google Firebase Cloud Messaging (FCM) pour envoyer des
notifications push aux appareils Android afin qu’ils entrent en contact avec le serveur Sophos Mobile.
En Chine, il est fort probable que FCM ne fonctionne pas. Par conséquent, Sophos Mobile peut
également utiliser le service de notification push chinois Baidu Cloud Push.
Si vous gérez des appareils Android situés en Chine, veuillez activer le service Baidu Cloud Push
comme suit :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android.
2. Sous la section Service Baidu Cloud Push, sélectionnez Activer le service Baidu Cloud Push.
3. Cliquez sur Enregistrer.
Lorsque Baidu Cloud Push est activé, Sophos Mobile envoie toutes les notifications push par le biais
de FCM et de Baidu Cloud Push.
24
Copyright © Sophos Limited
Sophos Mobile
8.11 Enregistrement de la licence Samsung Knox
Si vous avez une licence Samsung Knox Premium, vous pouvez gérer le conteneur Knox sur vos
appareils Samsung avec Sophos Mobile.
Pour enregistrer une clé de licence Samsung Knox Premium :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android
puis sur l’onglet Licence Samsung Knox.
2. Saisissez votre clé de licence Samsung Knox Premium.
Vous pouvez saisir une clé de licence de type KPE Premium ou KLM Workspace.
3. Cliquez sur Enregistrer.
Si vous décidez plus tard de ne pas utiliser votre licence Samsung Knox Premium avec Sophos
Mobile, cliquez sur Supprimer pour annuler l’enregistrement de la clé de licence.
8.12 Configuration de l’intervalle d’interrogation
pour les appareils Windows
Sur les appareils Windows, vous pouvez configurer l’intervalle d’interrogation auquel le client
MDM Windows contactera le serveur Sophos Mobile. généralement, le serveur contacte le client
à l’aide des notifications push. L’interrogation est utilisée en tant que mesure de sécurité en cas
d’indisponibilité du service de notification push.
Remarque
dans la majorité des cas, vous pouvez utiliser les valeurs par défaut. L’utilisation d’intervalles de
courte durée à un impact sur l’autonomie de la batterie et sur la consommation de données et
impose une plus grande utilisation des ressources du serveur.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de
Microsoft puis sur l’onglet Intervalle d’interrogation MDM.
2. Sélectionnez les intervalles d’interrogation pour les différents systèmes d’exploitation Windows.
3. Cliquez sur Enregistrer.
8.13 Vérification de vos licences
Sophos Mobile utilise un programme de licence par utilisateur. Une licence d’utilisateur est valide pour
tous les appareils assignés à cet utilisateur. Les appareils qui ne sont pas assignés à un utilisateur
nécessitent une licence pour chacun d’entre eux.
Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Licence.
Les informations suivantes apparaissent :
•
Nombre maximal de licences : nombre maximal d’utilisateurs d’appareils (et d’appareils n’étant
plus assignés) pouvant être administrés.
Copyright © Sophos Limited
25
Sophos Mobile
Si le super administrateur n’a pas défini de limites pour le client, le nombre de licences est
limitées par le nombre total pour le serveur Sophos Mobile.
•
Licences utilisées : nombre de licences utilisées.
•
Valide jusqu’au : date d’expiration de la licence.
•
Licence Advanced : Le super administrateur a activé une licence Mobile Advanced pour le client.
Si vous avez des questions ou des doutes à propos des informations affichées sur la licence,
veuillez contacter votre interlocuteur commercial Sophos.
8.14 Protocole SCEP (Simple Certificate
Enrollment Protocol)
Vous pouvez distribuer des certificats aux appareils Android, iOS et Windows Mobile à l'aide du
protocole SCEP (Simple Certificate Enrollment Protocol).
8.14.1 Conditions préalables
Pour pouvoir utiliser le protocole SCEP (Simple Certificate Enrollment Protocol), les conditions
préalables suivantes doivent être respectées :
•
Un serveur CA Windows compatible avec SCEP est présent dans l’environnement.
•
Les codes d’accès de connexion d’un utilisateur pouvant créer un code de challenge sont
disponibles.
•
Le serveur Sophos Mobile dispose de l’accès http ou https aux sites suivants :
— https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN
— https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP
8.14.2 Configuration de SCEP
Avant de pouvoir utiliser SCEP sur vos appareils, veuillez configurer la connexion à votre serveur
SCEP.
Pour configurer SCEP :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet SCEP.
2. Veuillez fournir les informations suivantes :
a) Dans le champ URL du serveur SCEP, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/
MSCEP.
b) Dans le champ URL de challenge, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/
MSCEP_ADMIN.
Remarque
Si vous utilisez un serveur Windows 2003 en tant que serveur SCEP, saisissez https://
VOTRE-SERVEUR-SCEP/CertSrv/MSCEP.
26
Copyright © Sophos Limited
Sophos Mobile
c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès de l’utilisateur qui
pourra créer un code de challenge.
Remarque
Dans le champ Utilisateur, saisissez un utilisateur qui dispose des droits nécessaires pour
enregistrer des certificats. Utilisez le format de connexion : nomutilisateur@domaine
d) Dans le champ Caractères de challenge, sélectionnez les types de caractères utilisés pour le
mot de passe de challenge.
e) Dans le champ Longueur du challenge, acceptez la longueur par défaut.
f)
Facultatif : Dessélectionnez l’option Utiliser le proxy HTTP si vous voulez que Sophos Mobile
contourne le proxy HTTP lors de la connexion au serveur SCEP. Cette option est uniquement
disponible si le proxy HTTP est activé.
Sur Sophos Mobile (version locale), le super administrateur peut configurer un proxy HTTP
que Sophos Mobile utilise pour les connexions HTTP et SSL/TLS sortantes. Retrouvez plus de
renseignements dans le Guide du super administrateur de Sophos Mobile (anglais).
Sur Sophos Mobile (version SaaS), le proxy HTTP est toujours activé.
3. Cliquez sur Enregistrer.
Sophos Mobile teste la connexion à votre serveur SCEP.
Pour déployer un profil avec SCEP, ajoutez une configuration SCEP à une stratégie Android, iOS ou
Windows Mobile.
Conseil
Dans la stratégie, vous pouvez configurer un intervalle au bout duquel l’appareil demande
automatiquement le renouvellement du certificat.
8.15 Création des propriétés clients
Vous pouvez créer des propriétés pour les clients.
Lorsque vous créez une propriété sous le nom ma propriété, vous pouvez faire référence à la
valeur de la propriété en utilisant l’espace réservé %_CUSTPROP(ma propriété)_%. Par exemple,
vous pouvez utiliser ceci pour faire référence à un domaine spécifique au client.
Retrouvez plus de renseignements sur les espaces réservés à la section Espaces réservés dans les
stratégies (page 118).
Pour créer une propriété pour le client :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Propriétés client.
2. Cliquez sur Ajouter une propriété client.
3. Saisissez un nom et une valeur pour la propriété client.
4. Cliquez sur Appliquer.
5. Cliquez sur Enregistrer.
La propriété client est ajoutée au client Sophos Mobile.
Copyright © Sophos Limited
27
Sophos Mobile
9 Configuration du Portail libre-service
Le Portail libre-service vous permet de réduire la charge de travail de votre service informatique en
laissant les utilisateurs inscrire eux-mêmes leurs propres appareils et effectuer les tâches sans avoir à
contacter le service d’assistance.
La configuration du Portail libre-service vous permet de définir :
•
Les groupes d’utilisateurs autorisés à se servir du Portail libre-service.
•
Les types d’appareils que les utilisateurs peuvent inscrire.
•
Les actions sur les appareils que les utilisateurs peuvent effectuer.
Le Portail libre-service est compatible avec les plates-formes suivantes :
•
Android
•
iOS et iPadOS
•
macOS
•
Windows Mobile
•
Windows
•
Chrome OS
9.1 Création des différentes configurations du
Portail libre-service
Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les
utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail
libre-service.
Vous pouvez utiliser différentes configurations du Portail libre-service pour différents utilisateurs.
Pour ce faire, ajoutez des utilisateurs à un groupe d’utilisateurs et associez le groupe à une
configuration. Vous trouverez des détails sur les groupes d’utilisateurs dans les informations
connexes.
Si un utilisateur appartient à plusieurs groupes qui sont tous associés aux configurations du Portail
libre-service, c’est la configuration ayant la priorité la plus élevée qui est appliquée.
Attention
En raison de la complexité des paramètres de configuration du Portail libre-service, nous vous
conseillons de tester l’inscription d’appareils pour différents groupes d’utilisateurs avant de
déployer les paramètres à vos utilisateurs.
Pour créer une configuration du Portail libre-service :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Portail libre-service.
2. Sélectionnez Textes d’inscription et ajoutez le texte des conditions générales d’utilisation et de
post-inscription.
Lorsque vous assignez ces textes à la configuration de votre Portail libre-service, elles sont
affichées respectivement avant et après l’inscription. Retrouvez plus de renseignements à la
section Création de textes d’inscription (page 30).
28
Copyright © Sophos Limited
Sophos Mobile
3. Sur la page Configurations du Portail libre-service, sélectionnez Ajouter pour créer une
configuration.
Vous pouvez créer plusieurs configurations et les assigner à différents groupes d’utilisateurs.
4. Configurez les paramètres suivants :
Option
Description
Nom
Le nom de la configuration.
Dans le Portail libre-service, les utilisateurs sélectionnent une
configuration par son nom.
Groupes d’utilisateurs
Sélectionnez Ajouter et saisissez un groupe d’utilisateurs. La
configuration est appliquée à tous les membres de ce groupe.
Vous pouvez ajouter plusieurs groupes d’utilisateurs à une
configuration, mais vous ne pouvez pas ajouter le même
groupe d’utilisateurs à différentes configurations.
Nombre maximal
d’appareils
Le nombre maximal d’appareils qu’un utilisateur peut inscrire
sur le Portail libre-service.
Actions
Sélectionnez Afficher puis sélectionnez les actions de gestion
qu’un utilisateur peut effectuer dans le Portail libre-service.
Retrouvez plus de renseignements sur les actions compatibles
avec une plate-forme d’appareil à la section Actions
disponibles dans le Portail libre-service (page 31).
5. Sélectionnez Ajouter puis une plate-forme d’appareils.
6. Dans la boîte de dialogue Configurer les paramètres de la plate-forme, configurez les
paramètres suivants :
Option
Description
Nom d’affichage
Le nom des paramètres de la plate-forme.
Dans le Portail libre-service, les utilisateurs sélectionnent un
type d’inscription par son nom.
Description
Une description des paramètres de la plate-forme.
Cette description apparaît dans le Portail libre-service à côté
du nom.
Propriétaire
Le mode propriétaire (professionnel ou personnel) des
appareils inscrit à cette configuration.
Groupe d’appareils
Le groupe d’appareils auquel l’appareil est ajouté.
Package d’inscription
La série de tâches (Android, iOS et macOS) ou la stratégie
(Windows et Windows Mobile) envoyée à l’appareil.
Conditions générales
d’utilisation
Le texte à afficher dans le Portail libre-service avant
l’inscription.
Ne remplissez pas ce champ afin qu’aucun texte ne soit
affiché.
Copyright © Sophos Limited
29
Sophos Mobile
Option
Description
Les utilisateurs doivent accepter le texte pour poursuivre
l’inscription.
Texte de post-inscription
Le texte à afficher dans le Portail libre-service après
l’inscription.
Ne remplissez pas ce champ afin qu’aucun texte ne soit
affiché.
7. Sélectionnez Appliquer pour ajouter les paramètres de la plate-forme à la configuration du Portail
libre-service.
8. Si nécessaire, configurez les plates-formes supplémentaires.
Pour chaque plate-forme, vous pouvez configurer différents paramètres pour les appareils
professionnels et personnels.
9. Sur la page Modifier la configuration du Portail libre-service, sélectionnez Enregistrer.
Si nécessaire, ajoutez plus de paramètres de configuration du Portail libre-service pour d’autres
groupes d’utilisateurs.
Sur la page Configurations du Portail libre-service, vous pouvez utiliser les flèches situées à côté
d’une configuration pour changer sa priorité. Si les utilisateurs du Portail libre-service correspondent
à plus d’une configuration (parce qu’ils appartiennent à plusieurs groupes), la configuration ayant la
priorité la plus élevée est utilisée.
Il y a toujours une configuration Default. Cette configuration a la priorité la plus basse et elle est
uniquement utilisée lorsqu’aucune autre configuration ne correspond à un utilisateur.
Tâches connexes
Création de groupes d’utilisateurs (page 110)
Les groupes d’utilisateurs vous permettent de contrôler l’accès à Sophos Mobile Self Service Portal et
les options d’inscription disponibles.
9.2 Création de textes d’inscription
Une configuration du Portail libre-service peut inclure des conditions générales d’utilisation et des
informations de post-installation qui seront affichées respectivement avant et après l’inscription. Vous
créez ces textes séparément de la configuration du Portail libre-service et les assignez selon votre
choix.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Portail libre-service.
2. Cliquez sur Textes d’inscription puis sur le type de texte à créer :
•
Conditions générales d’utilisation : une stratégie mobile, un avis de non-responsabilité ou un
texte de contrat de licence affiché avant l’inscription. Les utilisateurs doivent accepter le texte
pour poursuivre l’inscription.
•
Texte de post-inscription : texte à afficher suite à l’inscription, par exemple, une description
des tâches de post-inscription que l’utilisateur doit effectuer.
3. Sur la page Modifier le texte d’inscription, saisissez un nom pour le texte ainsi que le texte.
Vous pouvez utiliser HTML pour formater le texte.
4. Cliquez sur Enregistrer.
Lorsque vous configurez un paramètre du Portail libre-service, vous pouvez sélectionner le texte des
conditions générales d’utilisation et le texte de post-inscription pour chaque type d’inscription.
30
Copyright © Sophos Limited
Sophos Mobile
Tâches connexes
Création des différentes configurations du Portail libre-service (page 28)
Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les
utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail
libre-service.
9.3 Actions disponibles dans le Portail libre-service
Les actions du Portail libre-service permettent aux utilisateurs de gérer leurs appareils. Vous définissez
les actions disponibles dans la configuration du Portail libre-service.
Action
Description
Plates-formes
Géolocaliser l’appareil
Géolocaliser un appareil en cas de perte ou
de vol.
Android
iOS, iPadOS
Windows Mobile
Windows
Chrome OS
Verrouiller l’appareil
Verrouiller un appareil en cas de perte ou de
vol.
Android
iOS, iPadOS
macOS
Windows Mobile
Reconfigurer l’appareil
Reconfigurer l’appli Sophos Mobile Control,
par exemple si l’utilisateur l’a désinstallée par
inadvertance.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Afficher les violations de
conformité
Pour les appareils non conformes, afficher les
informations sur la violation.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Copyright © Sophos Limited
31
Sophos Mobile
Action
Description
Plates-formes
Rafraîchir les données
Synchroniser un appareil avec le serveur
Sophos Mobile.
Android
Selon votre stratégie de conformité, les
appareils pourraient être non conformes s’ils
ne sont pas synchronisés régulièrement, par
exemple, lorsqu’ils sont éteints pendant une
longue période de temps. Dans ce cas, les
utilisateurs peuvent effectuer cette action pour
remettre l’appareil en conformité.
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
Cette fonction n’est pas disponible pour
les appareils sur lesquels Sophos Mobile
administre uniquement le conteneur Sophos.
Réinitialiser le mot de
passe
Réinitialiser le mot de passe de l’écran de
verrouillage
Sophos Mobile définit un mot de passe
unique pour les appareils Android, les
iPhones et les iPads. Après avoir déverrouillé
l’appareil, l’utilisateur doit changer de mot de
passe.
Android
iOS, iPadOS
Windows Mobile
Pour les appareils de profil professionnel
Android Enterprise, le mot de passe du profil
professionnel est réinitialisé.
Sophos Mobile supprime le mot de passe
pour les iPhones et les iPads. L’utilisateur
dispose de 60 minutes pour définir un
nouveau mot de passe.
Réinitialiser
Réinitialiser un appareil à ses paramètres
d’usine en cas de perte ou de vol.
Toutes les données se trouvant sur l’appareil
seront supprimées.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Réinitialiser le profil
professionnel Android
Supprimer le profil professionnel d’un
appareil. L’appareil est également désinscrit
de Sophos Mobile.
Android
Désinscrire l’appareil
Désinscrire un appareil de Sophos Mobile.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
32
Copyright © Sophos Limited
Sophos Mobile
Action
Description
Plates-formes
Supprimer l’appareil non
administré
Supprimer un appareil de Sophos Mobile.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
Réinitialiser le mot de
passe de la Protection des
applis
Réinitialiser le mot de passe de la Protection
des applis.
Android
Réinitialiser le mot de
passe du conteneur
Sophos
Réinitialiser le mot de passe du conteneur
Sophos.
Reconfigurer l’appli SMC
Reconfigurer une appli Sophos Mobile Control
déjà installée.
iOS, iPadOS
Mode Perdu administré
Activer ou désactiver le mode Perdu
administré.
iOS, iPadOS
Faire sonner le mode
Perdu
Faire sonner l’appareil en mode Perdu
administré.
iOS, iPadOS
Les utilisateurs doivent saisir ce mot de passe
pour utiliser les applis que vous avez définies
comme protégées.
Android
iOS, iPadOS
Les utilisateurs doivent saisir ce mot de passe
pour utiliser les applis du conteneur Sophos
Sophos (Sophos Secure Email et Sophos
Secure Workspace).
Windows Mobile
Tâches connexes
Création des différentes configurations du Portail libre-service (page 28)
Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les
utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail
libre-service.
Copyright © Sophos Limited
33
Sophos Mobile
10 Stratégies de conformité
Les stratégies de conformité vous permettent de :
•
Autoriser, interdire ou appliquer l’utilisation de certaines fonctions d’un appareil.
•
Définir les actions qui sont exécutées si une règle de conformité est enfreinte.
Vous pouvez créer différentes stratégies de conformité et les assigner à des groupes d’appareils.
Vous pouvez ainsi appliquer différents niveaux de sécurité à vos appareils administrés.
Conseil
Si vous prévoyez de gérer des appareils professionnels et privés, nous vous conseillons de définir
des stratégies de conformité distinctes au moins pour ces deux types d’appareils.
10.1 Création d’une stratégie de conformité
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité.
2. Sur la page Stratégies de conformité, cliquez sur Créer une stratégie de conformité et
sélectionnez le modèle sur lequel la stratégie sera basée :
•
Modèle par défaut : une sélection de règles de conformité sans aucune action définie.
•
Modèle PCI, Modèle HIPAA : Les règles de conformité et actions sont respectivement basées
sur les normes de sécurité HIPAA et PCI DSS.
Votre sélection de modèle ne limite pas les autres options de configuration.
3. Saisissez un nom et éventuellement une description de la stratégie de conformité.
Répétez les étapes suivantes pour toutes les plates-formes requises.
4. Assurez-vous que la case Activer la plate-forme est sélectionnée sur chaque onglet.
Si cette case n’est pas sélectionnée, la conformité des appareils de cette plate-forme ne sera pas
vérifiée.
5. Sous Règle, configurez les règles de conformité pour la plate-forme.
Remarque
Chaque règle de conformité a un niveau de sévérité défini (élevée, moyenne, faible)
représenté par l’icône bleue. Cet indice de sévérité vous aide à évaluer l’importance de
chaque règle et à décider des actions à mettre en place si une de ces règles est enfreinte.
Remarque
Pour les appareils sur lesquels Sophos Mobile administre le conteneur Sophos plutôt que
l’appareil, seule un sous-ensemble de règles de conformité est applicable. Dans Sélectionner
les règles, sélectionnez un type d’administration pour mettre en évidence les règles
concernées.
6. Sous Si la règle est enfreinte, vous pouvez indiquer les actions à prendre si la règle est enfreinte :
34
Copyright © Sophos Limited
Sophos Mobile
Option
Description
Refuser l’email
Interdire l’accès à la messagerie.
Cette action est uniquement possible si le super administrateur
a configuré une connexion au proxy EAS interne ou autonome.
Retrouvez plus de renseignements dans le Guide du super
administrateur de Sophos Mobile (anglais).
Cette action est uniquement disponible sur les appareils
Android, iOS, Windows et Windows Mobile.
Verrouiller le conteneur
Désactiver les applis Sophos Secure Workspace et Sophos
Secure Email. Ceci s’applique aux documents, à la messagerie
et à l’accès Web administrés par ces applis.
Cette action peut uniquement être exécutée si vous avez
activé une licence Mobile Advanced.
Cette action est uniquement disponible sur les appareils
Android et sur les iPhones et les iPads.
Refuser le réseau
Interdire l’accès au réseau.
Cette action est uniquement possible si le super administrateur
a configuré le contrôle d’accès réseau. Retrouvez plus de
renseignements dans le Guide du super administrateur de
Sophos Mobile (anglais).
Cette action n’est pas disponible pour les appareils sur
lesquels Sophos Mobile administre uniquement le conteneur
Sophos.
Créer une alerte
Déclencher une alerte.
Les alertes sont affichées sur la page Alertes.
Transférer une série de
tâches
Transférer une série de tâches spécifique à cet appareil.
Sélectionner une série de tâches dans la liste ou sélectionner
Aucun pour ne transférer aucune série de tâches lorsque la
règle est enfreinte.
Attention
Si elles sont utilisées de manière incorrecte, certaines
séries de tâches risquent de configurer les appareils
de manière incorrecte ou même de les réinitialiser. Une
connaissance approfondie du système est nécessaire
pour assigner les bonnes séries de tâches aux règles de
conformité.
Remarque
Lorsqu’un appareil Android Enterprise entièrement géré n’est plus conforme, toutes les applis
sont désactivées.
Copyright © Sophos Limited
35
Sophos Mobile
7. Lorsque vous avez terminé de configurer les paramètres de toutes les plates-formes requises,
cliquez sur Enregistrer pour enregistrer la stratégie de conformité sous le nom que vous avez
choisi.
10.2 Règles de conformité disponibles
Cette section répertorie les règles de conformité que vous pouvez sélectionner pou chaque plateforme.
Règle
Description
Plates-formes
Administration obligatoire
Sélectionnez les actions qui seront
effectuées lorsque l’appareil ne sera
plus administré.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
Mode de gestion « Administrateur
de l’appareil » autorisé
Sélectionnez les actions qui seront
exécutées pour les appareils où
Sophos Mobile est un administrateur
de l’appareil.
Android
Google a rendu ce mode de gestion
obsolète et a réduit sa gamme de
fonctions. Nous vous conseillons
d’utiliser le mode de gestion Android
Enterprise à la place.
La Protection antialtération est
désactivée
Sélectionnez les actions à exécuter
lorsque la stratégie de sécurité
Chrome a été falsifiée.
Chrome OS
Version minimum de SMC
La version la plus ancienne autorisée
de l’appli Sophos Mobile Control.
Android
iOS, iPadOS
Windows Mobile
Version minimale de Sophos
Chrome Security
La version la plus ancienne autorisée
de l’extension Sophos Chrome
Security.
Android
iOS, iPadOS
Windows Mobile
36
Copyright © Sophos Limited
Sophos Mobile
Règle
Description
Plates-formes
Accès à la racine autorisé
Autorisez ou non les appareils avec
les droits root.
Android
Ceci autorise également les appareils
suivants s’ils sont classés comme
non sécurisés par le système
d’exploitation :
•
Appareils Sony à partir du niveau 4 de
Sony Enterprise API
•
Appareils Samsung avec Knox
Standard SDK 5.5 (API niveau 17) ou
antérieur
Compatibilité avec Google
SafetyNet obligatoire
L’appareil doit passer le test
Compatibility Test Suite (CTS),
un test Google SafetyNet de
compatibilité avec Android.
Android
Applis de sources inconnues
autorisées
Indiquez si les applications de
externes à Google Play (Android)
ou Chrome Web Store (Chrome OS)
sont autorisées.
Android
Chrome OS
Pour Android, cette règle affecte
uniquement les appareils à partir
d’Android 7.x.
Correction du pont Android (ADB)
autorisée
Autorisez ou non la correction du
pont ADB (Android Debug Bridge).
Android
Autoriser le débridage
Autorisez ou non les appareils
débridés.
iOS, iPadOS
Verrouillage de l’écran obligatoire
Sélectionnez s’il est nécessaire
d’utiliser un mot de passe sur
l’appareil ou tout autre mécanisme
de verrouillage de l’écran (modèle ou
code confidentiel).
Android
iOS, iPadOS
Windows Mobile
Windows
Sur Android, ceci inclut les types de
verrouillage d’affichage « Modèle »,
« Code confidentiel » et « Mot de
passe » mais pas « Faire glisser ».
Les appareils Windows Mobile sans
stratégie de mot de passe assignée
sont toujours signalés comme non
conformes. Il s’agit d’une limitation de
Windows.
Copyright © Sophos Limited
37
Sophos Mobile
Règle
Description
Plates-formes
Version minimum du système
d’exploitation
La plus ancienne version autorisée
du système d’exploitation.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
Version maximale du système
d’exploitation
La dernière version autorisée du
système d’exploitation.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
Mises à jour du syst. d’exploitation
obligatoire
Sélectionnez si la plus récente mise
à jour ou la plus récente mise à jour
obligatoire doit être installée sur les
appareils.
iOS, iPadOS
Certaines mises à jour sont classées
comme obligatoires par Apple. La
plus récente mise à jour disponible
pourrait être plus récente que la plus
récente mise à jour obligatoire.
Pour iOS 14, iPadOS 14 ou version
ultérieure, cette règle n’est disponible
que pour les appareils supervisés.
Intervalle maximum entre les
synchronisations
L’intervalle maximal auquel l’appareil
doit se synchroniser avec Sophos
Mobile.
Android
iOS, iPadOS
macOS
Windows Mobile
Windows
Chrome OS
38
Intervalle maximum entre les
synchronisations de SMC
L’intervalle maximal autorisé auquel
Sophos Mobile Control doit se
synchroniser avec Sophos Mobile.
iOS, iPadOS
Intervalle maximum entre les
synchronisations d’Intercept X for
Mobile
L’intervalle maximal autorisé auquel
Sophos Intercept X for Mobile doit se
synchroniser avec Sophos Mobile.
Android
Windows Mobile
iOS, iPadOS
Copyright © Sophos Limited
Sophos Mobile
Règle
Description
Plates-formes
Intervalle maximum entre les
contrôles d’Intercept X for Mobile
L’intervalle maximal autorisé auquel
Sophos Intercept X for Mobile
doit effectuer des analyses de
programmes malveillants.
Android
Les autorisations pour Intercept X
for Mobile peuvent être refusées
Sélectionnez si l’appareil devient
non conforme si l’utilisateur déchiffre
les autorisations d’application pour
Sophos Intercept X for Mobile.
Android
Applis malveillantes autorisées
Sélectionnez si les applis
malveillantes détectées par Sophos
Intercept X for Mobile sont autorisées.
Android
Applis suspectes autorisées
Sélectionnez si les applis suspectes
détectées par Sophos Intercept X for
Mobile sont autorisées.
Android
Applis potentiellement
indésirables autorisées
Sélectionnez si les applis
potentiellement indésirables (PUA)
détectées par Sophos Intercept X for
Mobile sont autorisées.
Android
Chiffrement requis
Sélectionnez s’il est obligatoire
de disposer du chiffrement sur les
appareils.
Android
Les utilisateurs doivent également
activer le paramètre Exiger le code
PIN pour démarrer l’appareil
ou Exiger le mot de passe pour
démarrer l’appareil lors de la
configuration du mode de verrouillage
de l’écran. Retrouvez plus de
renseignements dans l’article 123947
de la base de connaissances de
Sophos.
macOS
Windows Mobile
Windows
Pour macOS, ce paramètre
s’applique au chiffrement intégral du
disque FileVault.
Pour Windows Mobile, une violation
est uniquement signalée si la
restriction Interdire les appareils
non chiffrés est également définie. Il
s’agit d’une limitation de Windows.
Cette règle n’est pas disponible pour
iOS car les iPhones et iPads sont
toujours chiffrés.
Profils tiers autorisés
Copyright © Sophos Limited
Les profils de configuration non
administrés par Sophos Mobile sont
autorisés.
iOS, iPadOS
39
Sophos Mobile
Règle
Description
Plates-formes
Itinérance des données autorisée
L’itinérance des données autorisée.
Android
iOS, iPadOS
Conteneur configuré
Un conteneur doit être créé et activé
sur l’appareil. Il peut s’agir d’un
conteneur Sophos, d’un conteneur
Samsung Knox ou d’un profil
professionnel Android.
Android
Autorisation requise pour la
géolocalisation
Ce paramètre est associé à la
fonction Géolocaliser. Choisissez
si l’utilisateur doit autoriser l’appli
Sophos Mobile Control à récupérer
les données de position géographique
au moment de l’installation afin d’être
en conformité.
Android
Les autorisations pour SMC
peuvent être refusées
L’appli Sophos Mobile Control doit
avoir les droits sur l’appareil pour
fonctionner correctement. L’utilisateur
doit accorder ces droits lorsque l’appli
est installée.
Android
Sélectionnez si le refus des
droits entraîne une violation de la
conformité ou pas.
L’appli peut géolocaliser
Les services de géolocalisation
doivent être activés et l’appli Sophos
Mobile Control doit être autorisée
pour pouvoir les utiliser.
iOS, iPadOS
Windows Mobile
Pour Windows Mobile, cette règle
s’applique uniquement aux appareils
Windows Phone 8.1.
Pare-feu obligatoire
Le pare-feu macOS doit être activé.
macOS
Protection de l’intégrité du
système obligatoire
La Protection de l’intégrité du
système doit être activée
macOS
Remarque
La Protection de l’intégrité du système
est une fonction de sécurité macOS
qui limite les actions pouvant être
effectuées par l’utilisateur racine. La
Protection de l’intégrité du système
peut être configurée au démarrage
du Mac à partir de la Récupération de
macOS.
Mises à jour de sécurité obligatoire
40
L’installation automatique des mises
à jour de sécurité doit être activée.
macOS
Copyright © Sophos Limited
Sophos Mobile
Règle
Description
Plates-formes
Applis installées
Sélectionnez Applis autorisées ou
Applis interdites, puis sélectionnez
le groupe d’applis contenant les
applis que vous souhaitez autoriser
ou interdire.
Android
iOS, iPadOS
macOS
Chrome OS
Les applis du système Android sont
toujours autorisées.
Pour Chrome OS, les groupes
d’applis peuvent contenir des applis
et des extensions.
Applis obligatoires
Indiquez les applis qui doivent
être installées. Sélectionnez le
groupe d’applis contenant les applis
obligatoires dans la liste.
Android
Pour iOS, ne configurez pas les
applis système comme obligatoires.
Sophos Mobile ne peut pas savoir
si une appli système est installée et
définit tous les appareils comme non
conformes.
Windows
iOS, iPadOS
macOS
Chrome OS
Pour Chrome OS, les groupes
d’applis peuvent contenir des applis
et des extensions.
Applis non gérées de sources
inconnues autorisées
Les applis installées manuellement à
l’aide d’un fichier IPA sont autorisées.
iOS, iPadOS
Il s’agit d’applis développées en
interne et signées avec un ad hoc
provisioning profile.
Filtrage Web activé
La fonction Filtrage Web de Intercept
X doit être activée.
iOS, iPadOS
Windows Defender doit être activé
Le paramètre protection en temps
réel de Windows Defender doit être
activé.
Windows
Windows Defender doit déclarer un
état propre
L’appareil n’est pas conforme lorsque
Windows Defender affichent des
alertes.
Windows
Définitions mises à jour de
Windows Defender requises
Windows Defender doit utiliser les
définitions de spywares les plus
récentes.
Windows
Copyright © Sophos Limited
41
Sophos Mobile
10.3 Assignation d’une stratégie de conformité aux
groupes d’appareils
1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils.
La page Groupes d’appareils apparaît.
2. Cliquez sur le groupe d’appareils auquel vous voulez assigner la stratégie de conformité.
Un groupe d’appareil par défaut Default est toujours disponible. Retrouvez plus de renseignements
sur la création de vos propres groupes d’appareils à la section Création d’un groupe d’appareils
(page 101).
3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité que vous voulez
appliquer aux appareils professionnels et personnels.
4. Cliquez sur Enregistrer.
Les stratégies de conformité sélectionnées sont affichées sur la page Groupes d’appareils sous
Stratégie de conformité (professionnelle) et Stratégie de conformité (personnelle).
10.4 Vérification de la conformité des appareils
Après avoir configuré les stratégies de conformité, vous pouvez vérifier si les appareils inscrits sont
conformes aux à ces stratégies.
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité.
2. Cliquez sur Vérifier maintenant.
La conformité de tous les appareils inscrits est vérifiée. Les actions indiquées sont effectuées.
Remarque
Lorsqu’un appareil Android Enterprise entièrement géré n’est plus conforme, toutes les applis sont
désactivées.
42
Copyright © Sophos Limited
Sophos Mobile
11 Appareils
11.1 Ajout d’appareils
Vous pouvez ajouter les appareils dans Sophos Mobile de la manière suivante :
•
Ajouter des appareils manuellement. Retrouvez plus de renseignements à la section Ajout d’un
appareil (page 43).
•
Importer les appareils à partir d’un fichier CSV. Retrouvez plus de renseignements à la section
Importation des appareils (page 44).
•
Vous utilisez l’assistant Ajouter un appareil pour ajouter un appareil à Sophos Mobile, lui
assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de
renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 47).
•
Vous autorisez les utilisateurs à inscrire eux-mêmes leurs appareils dans le Sophos Mobile Self
Service Portal. Retrouvez plus de renseignements à la section Configuration du Portail libre-service
(page 28). Ce portail permet de réduire la charge de travail du service informatique en permettant
aux utilisateurs d’effectuer certaines tâches sans assistance. Les appareils sont approvisionnés
grâce à l’exécution de séries de tâches définies. Retrouvez plus de renseignements à la section
Séries de tâches (page 336).
Nous vous conseillons d’utiliser des groupes d’appareils pour faciliter l’administration des appareils.
Retrouvez plus de renseignements à la section Groupes d’appareils (page 101).
11.1.1 Ajout d’un appareil
Nous vous conseillons de créer un ou plusieurs groupes d’appareils avant d’ajouter votre premier
appareil à Sophos Mobile. Vous pourrez ensuite assigner chaque appareil à un groupe d’appareils
pour faciliter la gestion des appareils. Retrouvez plus de renseignements à la section Création d’un
groupe d’appareils (page 101).
Pour ajouter un nouvel appareil à Sophos Mobile :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
La page Appareils apparaît.
2. Cliquez sur Ajouter et sélectionnez la plate-forme sous le menu Ajouter un appareil
manuellement.
La page Modification de l’appareil apparaît.
3. Sur la page Modification de l’appareil, saisissez les informations suivantes sur l’appareil :
a) Dans le champ Nom, saisissez un nom exclusif au nouvel appareil.
b) Dans le champ Description, saisissez une description pour le nouvel appareil.
c) Sous Propriétaire, sélectionnez Professionnel ou Personnel.
d) Dans le champ Adresse électronique, saisissez une adresse électronique.
e) Dans le champ Numéro de téléphone, saisissez le numéro de téléphone du nouvel appareil.
Saisissez le numéro de téléphone au format international, par exemple +33 17 01 23 45
67.
f)
Sous Groupe d’appareils, sélectionnez le groupe d’appareils auquel l’appareil va être affecté.
Copyright © Sophos Limited
43
Sophos Mobile
Retrouvez plus de renseignements sur la création de groupes d’appareils à la section Création
d’un groupe d’appareils (page 101).
4. Pour assigner un utilisateur à l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur
située près du champ Utilisateur puis, cliquez sur Assigner l’utilisateur à l’appareil.
Retrouvez plus de renseignements à la section Assignation d’un utilisateur à un appareil (page
58).
5. Pour ajouter des propriétés personnalisées à l’appareil, rendez-vous dans l’onglet Propriétés
personnalisées et cliquez sur le bouton Ajouter une propriété personnalisée. Retrouvez plus de
renseignements à la section Ajout d’une propriété personnalisées de l’appareil (page 72).
6. Dès que toutes les informations nécessaires sur l’appareil sont saisies, cliquez sur Enregistrer.
Le nouvel appareil est ajouté à Sophos Mobile et apparaît sur la page Appareils sous GESTION.
Vous pouvez maintenant approvisionner et gérer l’appareil.
Remarque
Pour les iphones et les iPads, lorsque vous avez configuré Sophos Mobile pour synchroniser
le nom de l’appareil avec l’appareil conformément aux instructions de la section Paramètres
iPhone et iPad (page 17), le nom que vous avez saisi dans le champ Nom est remplacé par le
nom configuré au cours de la synchronisation.
11.1.2 Importation des appareils
Vous pouvez ajouter de nouveaux appareils en les important dans un fichier CSV.
Vous pouvez importer jusqu’à 500 appareils.
Les groupes d’utilisateurs et d’appareils doivent déjà être disponibles dans Sophos Mobile.
Le fichier CSV doit avoir la spécification suivante :
•
La première rangée est traitée en tant qu’en-tête et n’est pas importée.
•
Les valeurs doivent être séparées par un point-virgule et pas par une virgule.
•
Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez
pas les valeurs en option.
•
L’extension de fichier doit être .csv.
•
Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en
UTF-8.
Conseil
Sur la page Importer les appareils, cliquez sur Exemple de CSV pour télécharger un échantillon
de fichier.
Pour importer les appareils à partir d’un fichier CSV :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur Ajouter > Importer les appareils.
3. Sur la page Importer les appareils, cliquez sur Télécharger un fichier et naviguez jusqu’au
fichier CSV que vous avez préparé.
Les entrées sont lues à partir du fichier et sont affichées sur la page.
4. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce
cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu
du fichier CSV et le télécharger de nouveau.
44
Copyright © Sophos Limited
Sophos Mobile
5. Cliquez sur Terminer pour créer les appareils.
Les appareils répertoriés dans le fichier CSV sont importés et apparaissent sur la page Appareils.
Vous pouvez maintenant inscrire et configurer les appareils.
11.2 Inscription des appareils
Après avoir ajouté de nouveaux appareils à Sophos Mobile Admin, ceux-ci doivent être inscrits à
Sophos Mobile.
Types d’inscription
Sophos Mobile prend en charge deux types d’inscription :
Inscription d’appareil
Ce type d’inscription permet de bénéficier
des fonctionnalités MDM (Mobile Device
Management) complètes. Sophos Mobile
administre tout l’appareil.
Inscription d’un conteneur Sophos
Sophos Mobile administre uniquement le
conteneur Sophos sur l’appareil mais pas
l’appareil lui-même.
Le conteneur Sophos est disponible sur Android
et iOS.
L’inscription du conteneur Sophos est utile dans
les situations suivantes :
•
Vous voulez administrer les scénarios BYOD
(Bring Your Own Device). Avec l’inscription
de conteneurs Sophos, votre entreprise ne
voit qu’une quantité limitée d’informations
sur l’appareil et aucune appli ou donnée
personnelle.
•
Vos appareils sont administrés par un logiciel
MDM d’une autre marque. Toutefois, vous
voulez également utiliser des fonctions
offertes par le conteneur Sophos, par
exemple, la synchronisation des jeux de
clé professionnels avec Sophos SafeGuard
Enterprise.
•
Vos appareils sont administrés par un logiciel
MDM d’une autre marque. Toutefois, vous
voulez configurer des comptes de messagerie
supplémentaires. Par exemple, lorsque vous
êtes une société de conseils et que vos
employés ont besoin d’accéder aux serveurs
Exchange de vos clients.
Méthodes d’inscription
Les options d’inscription d’appareils suivantes sont disponibles :
Copyright © Sophos Limited
45
Sophos Mobile
•
Vous pouvez inscrire chaque appareil non administré à l’aide de la fonction Appareil. Retrouvez
plus de renseignements à la section Inscription d’appareils individuels (page 46).
•
Vous utilisez l’assistant Ajouter un appareil pour ajouter un appareil à Sophos Mobile, lui
assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de
renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 47).
Remarque
Si nécessaire, vous pouvez utiliser l’assistant Ajouter un appareil ou la méthode
d’inscription automatique pour inscrire les iPhones et iPads sans identifiant Apple. Ceci
peut, par exemple, s’avérer particulièrement utile pour configurer l’appareil avant de le
remettre à un utilisateur. Retrouvez plus de renseignements à la section Inscrire des
iPhones et des iPads sans identifiant Apple (page 50).
Conseils d’utilisation
Pour inscrire et configurer plusieurs appareils de manière plus efficace, nous vous conseillons
d’utiliser les méthodes suivantes :
•
Vous pouvez regrouper les tâches nécessaires à l’inscription d’appareils, appliquer les stratégies
requises et installer les applis requises (par exemple, les applis administrées pour les iPhones et
les iPads). Retrouvez plus de renseignements à la section Séries de tâches (page 336).
•
Vous pouvez autoriser les utilisateurs à inscrire leurs appareils dans le Sophos Mobile Self
Service Portal. Pour ce faire, vous devez inclure une série de tâches pour l’inscription lors de la
configuration des paramètres pour l’utilisation du Sophos Mobile Self Service Portal. Retrouvez
plus de renseignements sur la sélection de la série de tâches dans les paramètres du Portail libreservice à la section Création des différentes configurations du Portail libre-service (page 28).
11.2.1 Inscription d’appareils individuels
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils et sélectionnez l’appareil que vous
voulez inscrire.
2. Sur la page Affichage de l’appareil, sélectionnez un type d’inscription :
•
Pour inscrire l’appareil à Sophos Mobile, cliquez sur Actions > Inscrire.
• Pour inscrire le conteneur Sophos, cliquez sur Actions > Inscrire le conteneur Sophos.
3. Pour l’inscription du conteneur Sophos, sélectionnez une série de tâches ou une stratégie.
La tâche d’inscription commence et s’affiche sur la page Vue des tâches. Un email contenant les
instructions d’inscription est envoyé à l’utilisateur.
Attention
Veuillez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez téléchargé.
Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous devrez
recommencer.
Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le
Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator ou aux iPhones avec
iOS jusqu’à 12.1.x.
46
Copyright © Sophos Limited
Sophos Mobile
Remarque
Sur les Macs, l’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos
Mobile. Pour installer la stratégie d’inscription, l’utilisateur doit saisir un mot de passe
d’administrateur.
11.2.2 Utilisation de l’assistant Ajouter un appareil
Vous pouvez facilement inscrire de nouveaux appareils grâce à l’assistant Ajouter un appareil. Il
vous permet d’effectuer les tâches suivantes :
•
Ajouter un nouvel appareil à Sophos Mobile.
•
Facultatif : assigner un utilisateur à un appareil.
•
Inscrire l’appareil.
•
Facultatif : transférer une série de tâches sur cet appareil.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’ajout
d’appareil.
Conseil
Vous avez également la possibilité de démarrer l’assistant à partir de la page Tableau de
bord en cliquant sur le widget Ajouter un appareil.
2. Sur la page Utilisateur, saisissez les critères de recherche pour retrouver un utilisateur à qui
l’appareil va être assigné ou sélectionnez Ignorer l’assignation d’un utilisateur pour inscrire un
appareil qui ne va pas encore être assigné à un utilisateur.
3. Sur la page Sélection de l’utilisateur, sélectionnez l’utilisateur dans la liste des utilisateurs
correspondant à vos critères de recherche.
4. Sur la page Détails de l’appareil, configurez les paramètres suivants :
Option
Description
Plate-forme
La plate-forme de l’appareil.
Vous pouvez uniquement sélectionner une plate-forme qui est
activée pour le client auquel vous êtes connecté.
Nom
Un nom unique sous lequel l’appareil va être administré par
Sophos Mobile.
Description
Une description de l’appareil (renseignement facultatif).
Numéro de téléphone
Un numéro de téléphone (renseignement facultatif). Saisissez le
numéro de téléphone au format international, par exemple +33
17 01 23 45 67.
Adresse email
L’adresse électronique à laquelle les instructions d’inscription
vont être envoyées.
Si la gestion des utilisateurs est configurée pour le client,
il s’agit de l’adresse électronique de l’utilisateur assigné à
l’appareil.
Si la gestion des utilisateurs n’est pas configurée, saisissez
l’adresse email ici.
Copyright © Sophos Limited
47
Sophos Mobile
Option
Description
Propriétaire
Sélectionnez le type de propriétaire de l’appareil : soit
Professionnel soit Personnel.
Groupe d’appareils
Sélectionnez le groupe d’appareils auquel l’appareil va être
assigné. Si vous n’avez pas encore créé de groupe d’appareils,
vous pouvez sélectionner le groupe d’appareils Default (par
défaut) qui est toujours disponible.
5. Sur la page Type d’inscription, vous pouvez choisir d’inscrire l’appareil ou uniquement le
conteneur Sophos.
Retrouvez plus de renseignements à la section Configuration de l’inscription d’un conteneur
Sophos (page 418).
6. Sélectionnez une série de tâches ou une stratégie à transférer sur l’appareil. Ou sélectionnez
Inscrire l’appareil uniquement pour inscrire l’appareil sans transférer une série de tâches.
7. Sur la page Inscription, suivez les instructions pour finaliser le processus d’inscription.
Attention
Veuillez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez
téléchargé. Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous
devrez recommencer.
Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le
Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator ou aux iPhones
avec iOS jusqu’à 12.1.x.
Remarque
Sur les Macs, l’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos
Mobile. Pour installer la stratégie d’inscription, l’utilisateur doit saisir un mot de passe
d’administrateur.
8. Lorsque l’inscription s’est déroulée avec succès, cliquez sur Terminer.
Remarque
• Lorsque vous avez effectué toutes les sélections, vous pouvez fermer l’assistant sans avoir à
attendre que le bouton Terminer apparaisse. Une tâche d’inscription est créée et traitée en
tâche de fond.
48
•
Si vous avez sélectionné une série de tâches à transférer sur l’appareil après l’inscription,
vous pouvez suivre l’état de la tâche sur la page Vue des tâches. Retrouvez plus de
renseignements à la section Affichage des tâches non terminées, en échec et récemment
terminées (page 9).
•
Pour les iPhones et les iPads, lorsque vous avez configuré Sophos Mobile pour synchroniser
le nom de l’appareil avec l’appareil conformément aux instructions de la section Paramètres
iPhone et iPad (page 17). Le nom que vous avez saisi dans le champ Nom est ignoré et c’est
le nom configuré sur l’appareil qui est utilisé à la place.
Copyright © Sophos Limited
Sophos Mobile
11.2.3 Inscription automatique des appareils iPhone et iPad
Vous pouvez configurer les iPhone et iPad pour qu’ils s’inscrivent automatiquement à Sophos Mobile
au cours de l’activation de l’appareil.
Vous allez devoir utiliser Apple Configurator 2 pour assigner les appareils au serveur MDM de
Sophos Mobile. Lorsque les utilisateurs mettent en marche leurs appareils pour la première
fois, l’assistant d’installation démarre. Au cours de l’installation, les appareils sont inscrits
automatiquement à Sophos Mobile.
Remarque
Retrouvez une description détaillée d’Apple Configurator 2 dans le Guide de l’utilisateur d’Apple
Configurator 2 (lien externe).
Pour configurer l’inscription automatique des appareils iPhone et iPad à Sophos Mobile :
1. L’étape de préparation à l’inscription automatique consiste à créer un groupe d’appareils qui sera
assigné aux appareils pendant la phase d’inscription automatique à Sophos Mobile. Dans les
propriétés du groupe d’appareils, sélectionnez l’option Activer l’inscription automatique d’iOS.
Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 101).
2. Notez l’URL qui s’affiche dans le champ URL d’inscription automatique du groupe d’appareils.
Vous allez avoir besoin de cette URL pour configurer les appareils avec Apple Configurator 2.
3. Connectez l’appareil que vous voulez inscrire automatiquement au port USB d’un Mac sur lequel
Apple Configurator 2 est installé.
4. Dans Apple Configurator 2, utilisez l’Assistant préparation pour régler la configuration de l’appareil.
5. Sélectionnez Inscription manuelle et saisissez l’URL d’inscription automatique du groupe
d’appareils.
6. Suivez les autres étapes de l’Assistant préparation. Vous avez également la possibilité de
configurer les aspects suivants de l’activation de l’appareil :
•
Activer le mode de supervision de l’appareil.
•
Configurer les ordinateurs hôtes auxquels l’appareil est autorisé à se connecter sans utiliser de
ports USB.
•
Pour les appareils supervisés, veuillez générer ou choisir une « identité de supervision ».
•
Désactiver les étapes de configuration de l’assistant d’installation.
Après avoir terminé la configuration, remettez l’appareil à l’utilisateur. Lorsque l’utilisateur démarrera
son appareil pour la première fois, la configuration et l’inscription à Sophos Mobile seront effectuées
conformément à la configuration définie.
Conseil
Par défaut, Sophos Mobile gère les appareils inscrits automatiquement sous un nom composé de
l’identifiant de l’appareil et du type de l’appareil. Autrement, Sophos Mobile peut utiliser le nom
configuré sur l’appareil. Retrouvez plus de renseignements sur l’option Synchronisation du nom
de l’appareil à la section Paramètres iPhone et iPad (page 17).
Copyright © Sophos Limited
49
Sophos Mobile
11.2.4 Inscrire des iPhones et des iPads sans identifiant Apple
Vous pouvez inscrire un iPhone ou un iPad dans Sophos Mobile sans avoir à l’associer à un
identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pour configurer l’appareil
avant de le remettre à un utilisateur.
La méthode d’inscription standard consiste à installer l’appli Sophos Mobile Control sur l’appareil.
L’appli étant installée à partir de la boutique d’applis est uniquement accessible à l’aide d’un
identifiant Apple. Vous devez donc associer l’appareil à cet identifiant avant de commencer la
procédure d’inscription.
Une autre méthode d’inscription consiste à inscrire un iPhone ou un iPad sans installer l’appli
Sophos Mobile Control. Il n’est donc pas nécessaire d’associer l’appareil à un identifiant Apple. Vous
pouvez effectuer cette opération avec :
•
La méthode d’inscription automatique. Retrouvez plus de renseignements à la section Inscription
automatique des appareils iPhone et iPad (page 49).
•
L’assistant Ajouter un appareil. Retrouvez plus de renseignements à la section Utilisation de
l’assistant Ajouter un appareil (page 47).
Dans l’assistant, procédez comme suit :
1. Sur la page Inscription, sélectionnez l’onglet Inscription sans identifiant Apple.
2. Utilisez le navigateur Web de l’appareil pour ouvrir l’URL d’inscription. Un formulaire d’inscription à
Sophos Mobile s’ouvre.
3. Saisissez le token dans ce formulaire et cliquez sur Inscrire.
4. Suivez les instructions sur l’appareil pour installer la série de tâches d’inscription.
Attention
Veuillez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez téléchargé.
Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous devrez
recommencer.
Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le
Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator ou aux iPhones avec
iOS jusqu’à 12.1.x.
11.2.5 Inscription des appareils Android Enterprise
Pour Android Enterprise, les appareils sont généralement inscrits dans le Sophos Mobile Self Service
Portal.
Remarque
Si vous avez installé Android Enterprise dans Sophos Mobile dans le cadre d’un compte Google
Play d’entreprise, vous pouvez également inscrire les appareils à l’aide de l’assistant Ajouter un
appareil ou un code QR.
Conditions préalables :
•
50
Vous avez installé Android Enterprise pour le scénario Compte Google Play d’entreprise.
Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario
Compte Google Play d’entreprise) (page 378).
Copyright © Sophos Limited
Sophos Mobile
•
Vous avez créé une série de tâches d’inscription.
Pour inscrire un appareil Android Enterprise :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’ajout
d’appareil.
2. Dans l’assistant Ajouter un appareil procédez comme suit :
a) Sur la page Utilisateur, sélectionnez Rechercher un utilisateur et saisissez ensuite les
critères de recherche de l’utilisateur auquel l’appareil doit être assigné.
b) Sur la page Sélection de l’utilisateur, sélectionnez l’utilisateur dans la liste des utilisateurs
correspondant à vos critères de recherche.
c) Sur la page Détails de l’appareil, dans le champ Plate-forme, sélectionnez Android.
d) Sur la page Type d’inscription, sélectionnez votre série de tâches d’inscription pour Android
Enterprise.
Selon la stratégie assignée par la série de tâches, l’appareil sera un appareil Android Enterprise
entièrement géré ou un appareil de profil professionnel.
Remarque
Sur les appareils entièrement gérés Android Enterprise, seules les applis suivantes sont
disponibles :
•
Paramètres
•
Téléphone
•
Play Store
•
Sophos Mobile Control
•
Appareil photo (si vous avez activé Autoriser l’appareil photo dans la configuration
Restrictions)
Tâches connexes
Configuration de l’inscription d’un appareil Android Enterprise (page 382)
Utilisation de l’assistant Ajouter un appareil (page 47)
Inscription d’appareils avec un code QR (page 75)
Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le
code QR lors de sa configuration initiale
11.2.6 Inscription de groupes d’appareils Android Enterprise
L’applo Sophos NFC Provisioning vous permet d’inscrire des groupes d’appareils Android Enterprise
entièrement gérés à Sophos Mobile.
Restriction
L’inscription via NFC n’est pas prise en charge à partir d’Android 10.
Conditions préalables :
•
Vous avez installé Android Enterprise pour le scénario Compte Google Play d’entreprise.
Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario Compte
Google Play d’entreprise) (page 378).
Copyright © Sophos Limited
51
Sophos Mobile
•
Les appareils à inscrire sont neufs ou réinitialisés aux paramètres d’usine et ont NFC.
Pour inscrire des terminaux via NFC :
1. Installez l’appli Sophos NFC Provisioning à partir de Google Play sur un appareil équipé de la
technologie NFC. Il s’agit de l’appareil maître.
2. Dans l’appli Sophos NFC Provisioning, configurez les paramètres suivants :
•
Détails de connexion de votre réseau Wi-Fi professionnel.
•
Fuseau horaire et langue des nouveaux appareils.
•
Facultatif : l’URL du Portail libre-service.
•
Facultatif : Ignorer le chiffrement d’appareil.
•
Facultatif : Ignorer la configuration spécifique au fournisseur.
•
Facultatif : Activer les applis système.
Si vous activez cette option, toutes les applis préinstallées par le fabricant sont autorisées.
Si vous désactivez cette option, seules ces apps sont autorisées : Boutique Google Play,
Contacts, Messages, Téléphone. Google recommande ceci pour les appareils Android
Enterprise entièrement gérés.
3. Appuyez sur Prêt à transférer et tenez l’appareil principal et l’appareil à inscrire dos à dos avec les
capteurs NFC bien alignés.
L’appareil est configuré et inscrit à Sophos Mobile.
Pour inscrire d’autres appareils, appuyez de nouveau sur Prêt à transférer.
11.3 Désinscription des appareils
Vous pouvez désinscrire les appareils qui ne seront plus utilisés. Par exemple, si un utilisateur se
sert d’un nouvel appareil. Ceci peut s’avérer particulièrement utile si le nombre d’appareils que
l’utilisateur est autorisé à inscrire dans le Sophos Mobile Self Service Portal est limité.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sélectionnez l’appareil de votre choix, cliquez sur Actions puis sur Désinscrire.
Un message apparaît vous demandant de confirmer si vous voulez désinscrire l’appareil.
Remarque
Il est possible de sélectionner plusieurs appareils à désinscrire.
3. Cliquez sur Oui.
L’appareil est désinscrit. Cette opération a les effets suivants :
•
Appareils Android :
— L’administrateur d’appareils de Sophos Mobile Control est désactivé.
— Les données de connexion du serveur et toutes les autres données reçues sont supprimées.
— Les applis de conteneur (Sophos Secure Workspace et Sophos Secure Email) et Sophos
Intercept X for Mobile sont réinitialisées.
•
iPhones et iPads :
— Toutes les stratégies sont supprimées.
52
Copyright © Sophos Limited
Sophos Mobile
— Toutes les apps administrées sont désinstallées.
— Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés.
— Les applis de conteneur (Sophos Secure Workspace et Sophos Secure Email) et Sophos
Intercept X for Mobile sont réinitialisées.
•
Macs :
— Toutes les stratégies sont supprimées.
— Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés.
Remarque
• Lorsque les utilisateurs désactivent les droits administrateur de l’appareil Sophos Mobile
Control sur les appareils Android, l’appli Sophos Mobile Control désinscrit l’appareil.
•
Pour désinscrire un appareil Android Enterprise entièrement géré, vous devez l’effacer.
•
Si vous avez installé Android Enterprise pour un scénario de Compte Google Play
d’entreprise, les utilisateurs peuvent uniquement inscrire un nombre limité d’appareils.
Dans certaines situations, le compte Google pourrait toujours être sur l’appareil après la
désinscription et l’appareil pourrait toujours être considéré comme inscrit. Dans ce cas de
figure, supprimez manuellement le compte Google de l’appareil.
11.4 Gestion des appareils
Sur le menu latéral, sous GESTION > Appareils et Groupes d’appareils, vous pouvez suivre
l’état de tous les appareils et groupes d’appareils et pouvez effectuer de nombreuses tâches
administratives.
Après avoir ajouté des appareils à Sophos Mobile, vous pouvez par exemple :
•
Voir et modifier les détails de l’appareil.
•
Autoriser ou interdire l’accès à la messagerie aux appareils.
•
Verrouiller ou déverrouiller des appareils à distance.
•
Réinitialiser les mots de passe des appareils.
•
Réinitialiser l’appareil à distance en cas de perte ou de vol.
•
Retirer du service les appareils (Android et iOS).
•
Supprimer des appareils.
11.4.1 Affichage des appareils
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Rendez-vous sur l’appareil concerné et cliquez sur son nom.
La page Affichage de l’appareil s’affiche pour l’appareil sélectionné.
Copyright © Sophos Limited
53
Sophos Mobile
Conseil
Sur la page Appareils, vous pouvez afficher des informations supplémentaires en passant votre
curseur au-dessus de certains éléments :
•
Passez votre curseur sur l’icône « Non administré » d’un appareil pour afficher son état en
cours (Désinscrit ou Vérifié).
•
Passez votre curseur sur l’icône « Non conforme » d’un appareil pour afficher son niveau de
sévérité (élevée, moyenne, faible).
11.4.2 Page Affichage de l’appareil
La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur
l’appareil de votre choix.
Dans la partie supérieure de la page, vous pouvez consulter rapidement les informations les plus
importantes sur les appareils.
Dans la partie inférieure de la page, les différents onglets contiennent des informations détaillées sur
l’appareil. L’affichage de ces onglets et des informations dépend de la plate-forme de l’appareil.
Vous pouvez passer directement de la page Affichage de l’appareil à la page Modification de
l’appareil. Pour modifier l’appareil que vous êtes en train d’afficher, cliquez sur Modifier.
État
Affiche des informations essentielles sur l’appareil, notamment le type d’administration, l’état
d’administration et l’état de conformité.
Stratégies
Affiche les stratégies et les profils d’approvisionnement installés sur l’appareil.
L’onglet contient également des commandes permettant d’assigner ou de supprimer des stratégies.
Remarque
Les stratégies d’appareils iOS contenant uniquement les configurations suivantes n’apparaissent
pas sur l’onglet Stratégies :
•
Itinérance/Borne Wi-Fi
•
Fond d’écran
Ces configurations ne sont pas installées sur l’appareil. Elles définissent les paramètres que
l’utilisateur pourra changer ultérieurement.
Conseil
Le champ de recherche du tableau vous permet de rechercher par identifiants même si l’identifiant
n’est pas affiché dans le tableau.
54
Copyright © Sophos Limited
Sophos Mobile
Propriétés de l’appareil
Affiche les propriétés de l’appareil, par exemple les propriétés du modèle, le nom du modèle, la
version du système d’exploitation et si l’appareil est débloqué (Android) ou débridé (iOS).
Propriétés personnalisées
Affiche les propriétés personnalisées de l’appareil. Vous pouvez créer ces propriétés vous-même.
Les propriétés personnalisées de l’appareil peuvent, par exemple, être utilisées dans les espaces
réservés en cas d’indisponibilité d’une connexion Active Directory. Lorsque vous modifiez un
appareil, vous pouvez également ajouter des informations spécifiques à l’utilisateur.
Propriétés internes
Affiche les propriétés internes de l’appareil, par exemple, trafic ActiveSync autorisé, IMEI.
Violations de conformité
Cet onglet s’affiche uniquement pour les appareils non conformes. Il affiche les violations de
conformité de l’appareil et les actions prises suite à cette violation.
Applis installées
Affiche les logiciels installés sur l’appareil. Des informations différentes sont affichées en fonction de
chaque plate-forme.
La colonne Taille indique l’espace disque utilisé par une app. La colonne Données indique l’espace
disque supplémentaire qu’utilise une appli pour les données de l’utilisateur, les configurations, etc.
Vous pouvez également installer ou désinstaller des applis sur cet onglet.
Remarque
• Pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos,
les applis hors du conteneur Sophos ne sont pas répertoriées. Ceci inclut les applis que
l’utilisateur a installée à partir de l’Enterprise App Store.
•
Pour iOS, les applis identifiées sous l’état Géré peuvent être désinstallées.
•
Pour les Macs, les applis de tous les comptes d’utilisateur sont répertoriés.
•
Pour les ordinateurs Windows, vous pouvez uniquement désinstaller les applis qui ont
été installées par Sophos Mobile. Si vous essayez de désinstaller une app installée par
l’utilisateur, la tâche échoue.
•
Vous pouvez désactiver l’onglet Applis installées.
Applis système
Affiche les applis du système Android sur l’appareil.
Copyright © Sophos Limited
55
Sophos Mobile
Remarque
Les applis système ne peuvent pas être supprimées de l’appareil.
Applis Knox
Cet onglet affiche les applis installées par l’utilisateur dans le conteneur Samsung Knox.
Applis système Knox
Cet onglet affiche les applis système installées dans le conteneur Samsung Knox.
Résultats du contrôle
Cet onglet affiche les résultats du dernier contrôle Sophos Intercept X for Mobile effectué sur
l’appareil.
Cet onglet est uniquement disponible lorsque Sophos Intercept X for Mobile est administrée par
Sophos Mobile.
Certificats
Affiche les certificats utilisés sur l’appareil.
Pour les Macs, les certificats d’appareil sont répertoriés alors que les certificats d’utilisateur ne le
sont pas.
Pour les ordinateurs Windows, les certificats installés dans le magasin des utilisateurs sont affichés
dans la liste au contraire de ceux installés dans le magasin de l’appareil.
Conseil
Dans ce tableau, passez votre curseur sur la valeur Objet ou Émetteur pour afficher les
informations du certificat.
Tâches
Cet onglet affiche toutes les tâches qui ont échoué et qui ne sont pas encore terminées sur l’appareil
ainsi que celles qui ont été effectuées récemment. Vous pouvez également voir ces tâches ainsi que
toutes les tâches effectuées sur d’autres appareils sur la page Vue des tâches.
Concepts connexes
Applis gérées pour iPhones et iPads (page 362)
Les applications iPhones et iPads peuvent être installées en tant qu’applis gérées ou non gérées.
Mobile Threat Defense avec Sophos Intercept X for Mobile (page 396)
Sophos Intercept X for Mobile est une solution Mobile Threat Defense (MTD) pour les appareils
Android, iOS et iPad.
Surveillance des tâches (page 9)
56
Copyright © Sophos Limited
Sophos Mobile
Tâches connexes
Création d’une stratégie de conformité (page 34)
Configuration des paramètres de confidentialité (page 16)
Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil.
11.4.3 Utilisation des groupes intelligents
Les groupes intelligents son des séries dynamiques d’appareils basées sur les critères de filtrage que
vous définissez.
Par exemple, vous pourriez définir un groupe intelligent « Tous les appareils Android professionnels
créés au cours des 3 derniers mois ».
Pour définir un groupe intelligent :
1.
2.
3.
4.
Sur la page Appareils, sélectionnez Filtre étendu au-dessus de la liste d’appareils.
Définissez les critères de filtrage.
Saisissez le nom du groupe intelligent dans Groupe intelligent et sélectionnez Enregistrer.
Procédez de l’une des manières suivantes :
•
Pour appliquer le groupe intelligent à la liste d’appareils, sélectionnez Filtre.
• Pour fermer la fenêtre du filtre sans appliquer le groupe intelligent, sélectionnez Fermer.
5. Pour appliquer le groupe intelligent ultérieurement, sélectionnez Groupes intelligents au-dessus
de la liste d’appareils et sélectionnez une entrée.
Conseil
• Lorsqu’un groupe intelligent ou un filtre étendu est activé, l’icône du filtre dans l’en-tête du
tableau change de couleur (du bleu au vert).
•
Pensez à réinitialiser le filtre lorsque vous n’en avez plus besoin. Autrement, les listes ou les
rapports n’incluront pas les résultats attendus.
Autres actions des groupes intelligents :
•
Pour annuler un groupe intelligent et afficher de nouveau tous les appareils, sélectionnez Filtre
étendu puis Réinitialiser.
•
Pour supprimer un groupe intelligent, sélectionnez Groupes intelligents et sur l’icône Corbeille
correspondant au groupe intelligent à supprimer.
•
Pour modifier un groupe intelligent, appliquez-le puis sélectionnez Filtre étendu pour faire vos
modifications et sélectionnez Enregistrer.
•
Pour appliquer un filtre ad-hoc sans créer de groupe intelligent, sélectionnez Filtre étendu,
définissez les critères de filtrage et sélectionnez Filtre.
11.4.4 Modification des appareils
1.
2.
3.
4.
Sur le menu latéral, sous GESTION, cliquez sur Appareils.
Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.
Effectuez les changements nécessaires.
Cliquez sur Enregistrer.
Copyright © Sophos Limited
57
Sophos Mobile
11.4.5 Assignation d’un utilisateur à un appareil
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et
cliquez sur Modifier.
3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur
située près du champ Utilisateur et cliquez ensuite sur l’entrée de votre choix dans la liste de
sélection :
•
Pour assigner un utilisateur à un appareil auquel aucun utilisateur n’a encore été assigné,
cliquez sur Assigner un utilisateur à l’appareil.
•
Pour assigner un utilisateur différent à un appareil auquel un utilisateur a déjà été assigné,
cliquez sur Réassigner un utilisateur à l’appareil.
•
Pour recharger la liste d’utilisateurs à partir de l’annuaire LDAP, cliquez sur Rafraîchir les
informations sur l’utilisateur.
4. Sur la page Saisir des paramètres de recherche de l’utilisateur de la boîte de dialogue
d’assignation, saisissez le terme à rechercher dans un ou plusieurs champs afin de retrouver
l’utilisateur à qui l’appareil va être assigné. Par exemple, saisissez le nom d’utilisateur complet ou
une partie du nom.
5. Sur la page Sélection d’un utilisateur, sélectionnez l’utilisateur et cliquez sur Appliquer.
6. Sur la page Modification de l’appareil, cliquez sur Enregistrer.
11.4.6 Retrait d’assignation d’un utilisateur à un appareil
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et
cliquez sur Modifier.
3.
Sur la page Modification de l’appareil, cliquez sur l’icône
Modifier l’assignation d’un
utilisateur située près du champ Utilisateur et cliquez ensuite sur Retirer l’utilisateur assigné à
l’appareil.
4. Dans la boîte de dialogue de confirmation, cliquez sur Oui.
5. Cliquez sur Enregistrer.
11.4.7 Configuration de l’accès au réseau
Avant de pouvoir configurer l’accès au réseau d’un appareil, le contrôle d’accès réseau (NAC) doit
être activé dans Sophos Mobile.
Sur Sophos Mobile (version locale), le super administrateur active NAC. Retrouvez plus de
renseignements dans le Guide du super administrateur de Sophos Mobile (anglais).
Sur Sophos Mobile (version SaaS), NAC est toujours activé.
Deux options sont disponibles pour configurer l’accès au réseau d’un appareil :
1. Allow or deny network access unconditionally.
58
Copyright © Sophos Limited
Sophos Mobile
2. Disable network access when the device violates a compliance rule, enable network access
otherwise.
Remarque
Sophos Mobile ne contrôle pas l’accès au réseau lui-même. Il communique un état Refuser le
réseau qui peut être utilisé par un logiciel NAC externe tel que Sophos UTM pour bloquer les
communications réseau.
Remarque
Le contrôle d’accès au réseau est impossible pour les Macs connectés via Ethernet. Sophos
Mobile peut uniquement récupérer l’adresse MAC d’un adaptateur réseau Wi-Fi du Mac et pas
celle de son adaptateur Ethernet. Les appareils étant identifiés par leur adresse MAC, un Mac
connecté au réseau par son port Ethernet est traité comme un appareil inconnu lorsque votre
logiciel NAC externe demande à Sophos Mobile quel est l’état réseau de l’appareil.
Pour configurer l’accès au réseau d’un appareil :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez définir le mode
d’accès au réseau.
3. Cliquez sur Actions, puis sur Définir l’accès au réseau.
4. Sélectionnez le mode d’accès au réseau :
•
Autoriser : l’accès au réseau des appareils sélectionnés est autorisé.
•
Refuser : l’accès au réseau des appareils sélectionnés est refusé.
•
Mode Auto : l’accès au réseau des appareils sélectionnés est basé sur l’état de conformité des
appareils.
5. Cliquez sur Oui pour enregistrer vos modifications.
Remarque
Vous ne pouvez pas refuser l’accès au réseau à des appareils sur lesquels Sophos Mobile
administre le conteneur Sophos.
Retrouvez plus de renseignements sur la configuration de l’accès au réseau dans les règles de
conformité à la section Création d’une stratégie de conformité (page 34).
11.4.8 Contrôle de l’appareil
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Vous pouvez contrôler les appareils Android sur lesquels Sophos Mobile gère Sophos Intercept X for
Mobile.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur l’appareil que vous voulez contrôler.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Contrôler la présence de malwares.
Une tâche permettant de contrôler l’appareil est créée et transférée sur Sophos Intercept X for
Mobile.
Copyright © Sophos Limited
59
Sophos Mobile
Vous pouvez voir les résultats du contrôle sur l’onglet Résultats du contrôle de la page Affichage
de l’appareil. Cliquez sur un nom de menace pour afficher des informations supplémentaires
fournies par les SophosLabs.
Pour contrôler plusieurs appareils, créez une série de tâches avec la tâche Contrôler la présence
de malwares et transférez-la aux appareils ou groupes d’appareils requis.
11.4.9 Verrouillage de l’appareil
Vous pouvez verrouiller à distance un appareil administré par Sophos Mobile. Cette opération active le
verrouillage de l’écran.
Restriction
Ces instructions ne s’appliquent pas aux appareils Chrome.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez
verrouiller ou déverrouiller et cliquez sur Afficher.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Verrouiller.
4. Pour macOS : Créer un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller.
5. Pour certains types d’appareil, vous avez la possibilité de saisir un message qui s’affiche sur
l’écran de verrouillage.
Une tâche d’activation de l’écran de verrouillage est créée et transférée à l’appareil.
•
Pour toutes les plates-formes à l’exception de macOS : L’utilisateur doit saisir le mot de passe de
l’appareil (ou son code confidentiel ou le modèle, s’il est configuré) pour déverrouiller l’appareil.
•
Pour macOS : Le Mac redémarre. L’utilisateur doit saisir le code confidentiel que vous avez créé
pour déverrouiller l’appareil.
Remarque
Même pour les appareils sur lesquels Sophos Mobile administre uniquement le profil professionnel
Android, l’action Verrouiller verrouille l’appareil et pas uniquement le profil professionnel.
Remarque
Vous ne pouvez pas verrouiller les appareils sur lesquels Sophos Mobile administre le conteneur
Sophos.
Remarque
Vous ne pouvez pas réinitialiser un Mac qui a été verrouillé à distance.
Conseil
Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché
sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails
de la tâche sous Code confidentiel de verrouillage.
60
Copyright © Sophos Limited
Sophos Mobile
11.4.10 Réinitialisation du mot de passe de l’appareil
Vous pouvez réinitialiser à distance le mot de passe des appareils suivants :
•
Appareils Android jusqu’à Android 6.x
•
Appareils Android Enterprise
•
iPhones et iPads
•
Appareils Windows Mobile
Toutefois, vous ne pouvez pas réinitialiser le mot de passe des appareils suivants :
•
Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos.
•
Les appareils sur lesquels Sophos Intercept X for Mobile est la seule appli inscrite à Sophos
Mobile.
•
Les appareils Android Enterprise à partir d’Android 8.x, si l’utilisateur n’a pas confirmé le mot de
passe de l’appareil.
Sur certains appareil, l’utilisateur définit le mot de passe lors de la première installation avant
que l’appli Sophos Mobile Control soit installée. Dans ce cas, l’appli Sophos Mobile Control
demande à l’utilisateur de confirmer le mot de passe à chaque synchronisation. Tant que
l’utilisateur n’a pas confirmé le mot de passe, vous ne pouvez pas réinitialiser le mot de passe à
distance.
Pour réinitialiser le mot de passe d’un appareil :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Réinitialiser le mot de passe.
4. Si un mot de passe de déverrouillage à usage unique est affiché dans la boîte de dialogue de
confirmation, communiquez-le à l’utilisateur.
Pour Android et Windows Mobile, l’utilisateur doit déverrouiller l’appareil avec un mot de passe à
usage unique et créez un nouveau mot de passe.
Pour iOS, le mot de passe est supprimé et l’appareil est déverrouillé.
11.4.11 Rechercher l’appareil
Vous pouvez rechercher un appareil et afficher sa position dans Google Maps.
Restriction
Vous ne pouvez pas trouver de Mac.
Remarque
Pour des raisons de confidentialité, tous les événements associés à l’emplacement de l’appareil
sont enregistrés et peuvent être vérifiés ultérieurement.
Vous pouvez désactiver l’affichage de la position l’appareil dans les paramètres de sécurité de
Sophos Mobile.
Conditions préalables :
Copyright © Sophos Limited
61
Sophos Mobile
Android
•
Sophos Mobile Control est en cours d’exécution.
•
Les services de géolocalisation sont activés.
•
Sophos Mobile Control dispose de l’autorisation de Géolocalisation.
Utilisez la règle de conformité Autorisation requise pour la
géolocalisation pour vous assurer que Sophos Mobile Control peut
récupérer la position géographique de l’appareil.
iOS et iPadOS
•
Sophos Mobile Control est en cours d’exécution.
•
Les services de géolocalisation sont activés.
•
Sophos Mobile Control dispose de l’autorisation de Géolocalisation.
Utilisez la règle de conformité L’appli peut géolocaliser pour
vous assurer que Sophos Mobile Control peut récupérer la position
géographique de l’appareil.
Ces conditions préalables ne sont pas requises pour les appareils en
Mode Perdu administré.
Windows Mobile
Chrome OS
•
Sophos Mobile Control est en cours d’exécution.
•
Les services de géolocalisation sont activés.
•
Sophos Mobile Control dispose de l’autorisation de Géolocalisation.
•
Sophos Chrome Security est activé.
•
Les services de géolocalisation sont activés.
Pour rechercher un appareil :
1. Sur le menu latéral, sous GESTION, sélectionnez Appareils.
2. Sélectionnez l’appareil que vous souhaitez géolocaliser.
3. Sélectionnez Actions > Rechercher.
Si Rechercher n’est pas disponible, vérifiez que l’appli Sophos Mobile Control peut obtenir la
position de l’appareil.
4. Saisissez une raison pour la demande et sélectionnez Oui.
Une tâche de récupération de l’emplacement de l’appareil est créée et transférée sur l’appareil.
Si l’appareil est hors connexion, la tâche reste à l’état Notifié jusqu’à ce que l’appareil se
connecte au serveur.
5. Lorsque la tâche est terminée, cliquez sur Actions > Rechercher > Afficher la position pour voir
la position de l’appareil dans Google Maps.
Pour voir la position de plusieurs appareils en même temps, sélectionnez-les sur la page Appareils
et sélectionnez Actions > Rechercher. Vous pouvez également utiliser le rapport Emplacement de
l’appareil.
Vous ne pouvez pas suivre la position de l’appareil dans la durée car Sophos Mobile stocke
uniquement la dernière position connue.
Tâches connexes
Configuration des paramètres de confidentialité (page 16)
62
Copyright © Sophos Limited
Sophos Mobile
Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil.
Référence associée
Règles de conformité disponibles (page 36)
Cette section répertorie les règles de conformité que vous pouvez sélectionner pou chaque plateforme.
11.4.12 Contourner le verrouillage d’activation Apple
Vous pouvez contourner la fonction de verrouillage d’activation Apple et réactiver les iPhone et les
iPad sans connaitre l’identifiant Apple et le mot de passe de l’utilisateur précédent.
Conditions préalables :
•
L’appareil est supervisé.
•
Vous avez activé le contournement du verrouillage d’activation dans Sophos Mobile Admin et
l’appareil a réussi à se synchroniser avec Sophos Mobile.
Le verrouillage d’activation est une fonction de sécurité d’Apple permettant d’empêcher l’activation
d’appareils perdus ou volés. Lorsque le verrouillage d’activation est activé sur un appareil, saisissez
l’identifiant Apple et le mot de passe de l’utilisateur précédent pour le réactiver.
Si un utilisateur renvoie un appareil avec le verrouillage d’activation activé et que vous ne
connaissez pas l’identifiant Apple et le mot de passe de l’utilisateur, Sophos Mobile offre deux façons
de réactiver l’appareil.
Référence associée
Paramètres iPhone et iPad (page 17)
L’onglet iOS et iPadOS de la page Configuration d’Apple vous permet de configurer les paramètres
des iPhones et iPads.
Supprimer le verrouillage d’activation
Si l’appareil est toujours enregistré dans Sophos Mobile, vous pouvez supprimer le verrouillage
d’activation à distance.
1. Sur le menu latéral, sélectionnez Appareils.
2. Ouvrez l’appareil pour lequel vous souhaitez supprimer le verrouillage d’activation.
3. Sur la page Affichage de l’appareil, sélectionnez Actions > Contourner le verrouillage
d’activation.
Sophos Mobile envoie une demande de suppression du verrouillage d’activation à l’appareil.
4. Une fois la tâche terminée, restaurez les paramètres par défaut de l’appareil.
Vous pouvez maintenant activer l’appareil sans avoir à saisir l’identifiant Apple et le mot de passe de
l’utilisateur précédent.
Contourner le verrouillage d’activation
Supposons que l’appareil soit déjà désinscrit de Sophos Mobile parce que l’utilisateur a réinitialisé
ses paramètres d’usine. Dans ce cas, vous pouvez réactiver l’appareil à l’aide d’un code de
contournement.
1. Sur le menu latéral, sélectionnez Appareils.
2. Ouvrez l’appareil pour lequel vous souhaitez contourner le verrouillage d’activation.
3. Sur la page Affichage de l’appareil, allez sur Propriétés de l’appareil.
Copyright © Sophos Limited
63
Sophos Mobile
4. Dans la liste des propriétés, recherchez ActivationLockBypassCode.
Il s’agit du code de contournement.
5. Activez l’appareil après l’avoir réinitialisé à ses paramètres d’usine.
6. À l’endroit où vous devez saisir l’identifiant Apple et le mot de passe de l’utilisateur précédent,
saisissez le code de contournement, sans tirets, dans le champ Mot de passe.
Laissez le champ Identifiant Apple vide.
7. Terminez la procédure d’activation.
11.4.13 Définir le niveau de journalisation du client
En définissant le niveau de journalisation, vous configurez la quantité d’informations de journalisation
que le client Sophos Mobile collecte sur un appareil.
Restriction
Ces instructions s’appliquent uniquement aux plates-formes qui ont un client Sophos Mobile :
•
Android
•
iOS, iPadOS
•
Chrome OS
Si vous ne définissez pas le niveau de journalisation, l’utilisateur peut le définir dans le client Sophos
Mobile.
Pour définir le niveau de journalisation :
1.
2.
3.
4.
Sur le menu latéral, sous GESTION, sélectionnez Appareils.
Sélectionnez le nom de l’appareil pour lequel vous souhaitez définir le niveau de journalisation.
Sélectionnez Actions > Définir le niveau de journalisation.
Sélectionnez un niveau de journalisation (Erreur, Avertir, Info, Déboguer, Suivre) ou
sélectionnez Paramètre par défaut de l’appareil pour permettre à l’utilisateur de définir le niveau
de journalisation.
La quantité d’informations de journalisation passe de Erreur à Suivre.
Une fois que vous avez défini le niveau de journalisation, il est affiché en tant que propriété
client.log.level.serverOverride sur l’onglet Propriétés internes.
Pour définir le niveau de journalisation sur plusieurs appareils, sélectionnez-les sur la page
Appareils et sélectionnez Actions > Définir le niveau de journalisation.
Information associée
Récupérer les journaux de l’appli (page 64)
Vous pouvez récupérer les fichiers journaux de toutes les applis Sophos Mobile gérées, soit à distance
avec Sophos Mobile Admin, soit sur l’appareil avec Sophos Mobile Control.
11.4.14 Récupérer les journaux de l’appli
Vous pouvez récupérer les fichiers journaux de toutes les applis Sophos Mobile gérées, soit à distance
avec Sophos Mobile Admin, soit sur l’appareil avec Sophos Mobile Control.
Pour les appareils Android, iPhone et iPad, vous pouvez récupérer les fichiers journaux des applis
suivantes, à condition qu’elles soient gérées par Sophos Mobile :
64
Copyright © Sophos Limited
Sophos Mobile
•
Sophos Mobile Control
•
Sophos Secure Workspace
•
Sophos Secure Email
•
Sophos Intercept X for Mobile
Pour les appareils Chrome, vous pouvez récupérer les fichiers journaux de Sophos Chrome
Security.
Pour une appli non gérée par Sophos Mobile, vous pouvez toujours exporter ses fichiers journaux
depuis l’appli.
Retrouvez plus de renseignements sur la récupération des fichiers journaux système pour les
appareils iPhone ou iPad dans l’article KB-000034154 de la base de connaissances.
Information associée
Comment récupérer les journaux sur Android et iOS (vidéo)
Article KB-000034154 de la base de connaissances
Récupérer les journaux Sophos Mobile à distance
Conseil
Avant de récupérer les fichiers journaux, nous vous recommandons de définir le niveau de journal
le plus détaillé, Suivre. Retrouvez plus de renseignements à la section Définir le niveau de
journalisation du client.
Pour récupérer les fichiers journaux de toutes les applis Sophos Mobile gérées sur un appareil avec
Sophos Mobile Admin, procédez comme suit :
1. Sur le menu latéral, sélectionnez Appareils.
2. Ouvrez l’appareil pour lequel vous souhaitez obtenir les fichiers journaux.
Vous pouvez récupérer des fichiers journaux pour les appareils Android, iPhone, iPad et
Chrome.
3. Sur la page Affichage de l’appareil, sélectionnez Actions > Récupérer les fichiers journaux.
Sophos Mobile vous envoie un email contenant les fichiers journaux.
Pour les appareils Android Enterprise, l’email inclut un rapport de bugs Android.
Pour les appareils iPhone et iPad, l’utilisateur doit ouvrir Sophos Mobile Control dans les 72 heures
suivant l’exécution de l’action. Sinon, l’action échoue.
Tâches connexes
Définir le niveau de journalisation du client (page 64)
En définissant le niveau de journalisation, vous configurez la quantité d’informations de journalisation
que le client Sophos Mobile collecte sur un appareil.
Récupérer les journaux Sophos Mobile sur un appareil
Pour récupérer les fichiers journaux de toutes les applis Sophos Mobile gérées avec Sophos Mobile
Control, procédez comme suit :
1. Ouvrez Sophos Mobile Control sur l’appareil.
2. Ouvrez le menu de l’appli et sélectionnez Envoyer le journal.
3. Sélectionnez l’appli de messagerie.
Copyright © Sophos Limited
65
Sophos Mobile
4. Saisissez l’expéditeur et le destinataire de l’email.
Sous Android, l’expéditeur par défaut est le compte Google de l’utilisateur et le destinataire
par défaut est le contact du service informatique que vous avez configuré dans Sophos Mobile
Admin.
5. Envoyez l’email.
Remarque
Vous ne pouvez pas exporter de fichiers journaux à partir d’appareils Samsung si vous leur
avez assigné une stratégie de conteneur KNOX dans laquelle Autoriser « Partager par » est
désactivé.
Tâches connexes
Configuration du contact du service informatique (page 16)
Récupérer les journaux Sophos Secure Workspace (Android)
Pour récupérer les fichiers journaux de l’appli Sophos Secure Workspace pour Android, procédez
comme suit :
1.
2.
3.
4.
Ouvrez Sophos Secure Workspace.
Ouvrez le menu de l’appli et sélectionnez Paramètres > Envoyer le journal par email.
Sélectionnez l’appli de messagerie.
Saisissez l’expéditeur et le destinataire de l’email.
L’expéditeur par défaut est le compte Google de l’utilisateur.
5. Envoyez l’email.
Récupérer les journaux Sophos Secure Workspace (iOS)
Pour récupérer les fichiers journaux de l’appli Sophos Secure Workspace pour iOS ou iPadOS,
procédez comme suit :
1. Ouvrez Sophos Secure Workspace.
2. Cliquez sur les trois points en haut à droite pour ouvrir le menu de l’appli.
3. Sélectionnez Paramètres > Envoyer les fichiers journaux.
4. Saisissez l’expéditeur et le destinataire de l’email.
5. Sélectionnez Envoyer.
Récupérer les journaux Sophos Intercept X for Mobile (Android)
Pour récupérer les fichiers journaux de l’appli Sophos Intercept X for Mobile pour Android, procédez
comme suit :
1.
2.
3.
4.
66
Ouvrez Sophos Intercept X for Mobile.
Ouvrez le menu de l’appli et sélectionnez Paramètres > Envoyer le journal par email.
Sélectionnez l’appli de messagerie.
Saisissez l’expéditeur et le destinataire de l’email.
Copyright © Sophos Limited
Sophos Mobile
L’expéditeur par défaut est le compte Google de l’utilisateur.
5. Envoyez l’email.
Récupérer les journaux Sophos Intercept X for Mobile (iOS)
Pour récupérer les fichiers journaux de l’appli Sophos Intercept X for Mobile pour iOS ou iPadOS,
procédez comme suit :
1. Ouvrez Sophos Intercept X for Mobile.
2. Ouvrez le menu de l’appli et sélectionnez Paramètres > Envoyer les fichiers journaux.
3. Sélectionnez Messagerie.
4. Saisissez l’expéditeur et le destinataire de l’email.
L’expéditeur par défaut est l’adresse -mail du compte Google.
5. Sélectionnez Envoyer.
Récupérer les journaux Sophos Chrome Security
Pour récupérer les fichiers journaux de Sophos Chrome Security, procédez comme suit :
1. Ouvrez Chrome.
2. Dans la barre d’extension, sélectionnez Sophos Chrome Security.
3. Sélectionnez À propos de > Exporter le journal.
Sophos Chrome Security enregistre les fichiers journaux dans le dossier de téléchargement de
l’appareil.
11.4.15 Réinitialisation de l’appareil
Vous pouvez réinitialiser à distance un appareil administré par Sophos Mobile. Cette action restaure
les paramètres d’usine sur l’appareil.
Restriction
Vous ne pouvez pas réinitialiser les appareils suivants :
•
Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos.
•
Appareils de profil professionnel Android Enterprise.
•
Les Macs que vous avez verrouillés à distance.
Pour effacer un appareil à distance :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez
réinitialiser et cliquez sur Afficher.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Réinitialiser.
4. Pour certains types d’appareils, vous devez configurer des paramètres supplémentaires :
Copyright © Sophos Limited
67
Sophos Mobile
a) Pour les appareils Android Enterprise entièrement gérés, activez la protection contre la
réinitialisation aux paramètres d’usine (FRP) si nécessaire.
Attention
Si les comptes Google configurés pour la protection contre la réinitialisation aux
paramètres d’usine (FRP) ne sont pas valides ou si vous ne connaissez pas leurs codes
d’accès, l’appareil sera inutilisable après sa réinitialisation.
b) Pour les iPhones et les iPads, configurez ces paramètres dans la boîte de dialogue de
confirmation :
•
Conserver le forfait de données cellulaires : si un forfait de données cellulaires est
disponible sur l’appareil, il est conservé après la réinitialisation aux paramètres d’usine.
•
Interdire le Démarrage rapide : pour le premier démarrage de l’appareil après restauration
des paramètres d’usine, ignorez l’étape Démarrage rapide de l’Assistant d’installation
permettant à l’utilisateur de transférer le contenu à partir d’un autre iPhone.
c) Pour les Macs, créez un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller.
5. Cliquez sur Oui dans la boîte de dialogue de confirmation.
Une tâche de réinitialisation de l’appareil est créée et transférée à l’appareil.
Conseil
Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché
sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails
de la tâche sous Code confidentiel de verrouillage.
Concepts connexes
Protection contre la réinitialisation aux paramètres d’usine Android (page 386)
La protection contre la réinitialisation aux paramètres d’usine (FRP) est une fonction de sécurité
Android qui empêche l’accès non autorisé à l’appareil après réinitialisation.
11.4.16 Activation ou désactivation de la protection contre la
réinitialisation aux paramètres d’usine Android
Restriction
Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés.
Lorsque vous configurez la protection contre la réinitialisation aux paramètres d’usine (FRP) pour un
appareil Android Enterprise entièrement géré, la fonction est activée par défaut. Si vous êtes sûr(e)
qu’un appareil n’est pas perdu ou volé, vous pouvez désactiver la protection contre la réinitialisation
aux paramètres d’usine (FRP) afin de simplifier la procédure d’installation.
Pour activer ou désactivez FRP :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur l’appareil pour lequel vous souhaitez définir l’état de la protection contre la
réinitialisation aux paramètres d’usine (FRP).
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Définir la protection contre la
réinitialisation aux paramètres d’usine.
68
Copyright © Sophos Limited
Sophos Mobile
4. Sélectionnez Activer FRP ou Désactiver FRP.
Lorsque FRP est activée, l’appareil doit être déverrouillé après la réinitialisation aux paramètres
d’usine avec l’un des comptes Google que vous avez configuré pour FRP.
Retrouvez plus de renseignements sur la protection contre la réinitialisation aux paramètres d’usine
(FRP) à la section Protection contre la réinitialisation aux paramètres d’usine Android (page 386).
Attention
si vous n’avez pas configuré FRP correctement, l’appareil sera inutilisable lorsqu’il sera réinitialisé
avec la FRP activée.
Conseil
Vous pouvez vérifier l’état FRP d’un appareil sur l’onglet État de la page Affichage de l’appareil.
11.4.17 Configurer la gestion des dépenses en
télécommunications
La gestion des dépenses en télécommunications vous permet de suivre l’utilisation des données
cellulaires de chaque appareil.
Restriction
La gestion des dépenses de télécommunication n’est pas disponible pour :
•
Appareils jusqu’à Android 5.1.1.
•
Appareils de profil professionnel Android Enterprise.
•
Macs.
•
Appareils Windows et Windows Mobile.
•
Appareils Chrome.
Pour configurer la gestion des dépenses de télécommunication pour des appareils spécifiques :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez configurer la
gestion des dépenses en télécommunications.
Sélectionnez uniquement les appareils avec le même forfait de données cellulaires.
3. Cliquez sur Actions > Configurer la gestion des dépenses en télécommunications.
4. Configurez les paramètres suivants :
Option
Description
Activer la surveillance
Lorsque cette option est sélectionnée, le suivi de l’utilisation
des données cellulaires est activé pour les appareils
sélectionnés.
Volume de données du
plan
Le volume de données en Mo de votre forfait de données
cellulaires.
Copyright © Sophos Limited
69
Sophos Mobile
Option
Description
Seuil d’alerte
Un seuil de volume de données en Mo. Lorsque le volume
de données utilisées d’un appareil dépasse cette valeur, une
alerte est créée.
Date de réinitialisation du
cycle d’utilisation
Une valeur comprise entre 1 et 31 pour indiquer le jour
du mois auquel la valeur d’utilisation des données sera
réinitialisée.
Remarque
Si un mois a moins de jour que la valeur saisie, la valeur
d’utilisation des données est réinitialisée le dernier jour du
mois.
5. Cliquez sur Enregistrer pour appliquer les paramètres des appareils sélectionnés.
L’utilisation des données cellulaires est signalée par un appareil à chaque fois qu’il se synchronise
avec le serveur Sophos Mobile.
Pour voir l’utilisation actuelle des données d’un appareil, ouvrez la page Affichage de l’appareil de
l’appareil et cliquez sur Actions > Configurer la gestion des dépenses en télécommunications.
Remarque
L’utilisation des données signalées peut être différente des valeurs chargées par votre opérateur
télécom. Le trafic de données causé par les applis installées est signalée alors que les mises à
jour du système, les mises à jour des applis du système ou tout trafic similaire ne l’est pas.
Conseil
Utilisez le rapport Utilisation des données cellulaires pour voir l’utilisation des données de tous
les appareils sur lesquels la gestion des dépenses en télécommunications est activée. Retrouvez
plus de renseignements à la section Rapports (page 8).
Remarque
• La valeur d’utilisation des données est réinitialisée aux périodes suivantes :
— Tous les mois à la fin de la journée que vous avez configurée.
— Lorsque vous désactivez la gestion des dépenses en télécommunications sur l’appareil.
— Lorsque l’appareil est désinscrit de Sophos Mobile.
•
Pour iOS, l’utilisation des données n’est pas signalée lorsque l’appli Sophos Mobile Control
est fermée (par exemple ; lorsque l’utilisateur n’a pas démarré l’appli après avoir redémarré
l’appareil).
11.4.18 Mettre à jour iOS et iPadOS
Vous pouvez mettre à jour iOS et iPadOS sur des appareils supervisés.
Utilisez cette procédure pour mettre à jour iOS ou iPadOS sur un seul appareil. Pour mettre à jour
un groupe d’appareils, veuillez utiliser une série de tâches avec la tâche Installer la dernière mise à
jour iOS.
70
Copyright © Sophos Limited
Sophos Mobile
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur la flèche descendante correspondant à l’appareil de votre choix
et cliquez sur Afficher.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Afficher les mises à jour
disponibles.
Une liste des mises à jour disponibles pour l’appareil apparaît. Les mises à jour Critique sont des
mises à jour de sécurité considérées comme critiques par Apple.
4. Pour installer la dernière mise à jour disponible, cliquez sur Installer la dernière mise à jour
disponible.
Sophos Mobile crée une tâche et la transfère à l’appareil.
Conseil
Vérifiez l’état de mise à jour d’un seul appareil sur la page Affichage de l’appareil de l’appareil.
Un signe d’avertissement apparaît Système d’exploitation si la dernière version n’est pas
installée sur l’appareil. À partir d’iOS 14 et d’iPadOS 14, seuls les appareils supervisés signalent
leur état de mise à jour.
Vérifiez l’état de mise à jour de tous les appareils iPhones et iPads dans la colonne
OsUpdateAvailable du rapport Appareils.
Concepts connexes
Types de tâches (iOS, iPadOS) (page 340)
11.4.19 Configurer le mode Perdu administré
Vous pouvez mettre un iPhone ou un iPad supervisé en mode Perdu administré. L’appareil ne peut
pas être utilisée tant que le mode Perdu administré n’a pas été désactivé dans Sophos Mobile.
Sous le mode Perdu administré, les seules actions disponibles sur l’appareil sont :
•
Composer un numéro que vous avez configuré.
•
Passer un appel d’urgence.
Remarque
• Le mode Perdu administré est un mode de verrouillage différent du mode Perdu qui peut être
activer dans iCloud par un utilisateur. Lorsque vous activez le mode Perdu administré dans
Sophos Mobile, l’appareil ne peut pas déverrouillé dans iCloud.
•
La géolocalisation de l’appareil est plus fiable sous le mode Perdu administré que sous
le mode de verrouillage standard. La géolocalisation de l’appareil est signalée par la
fonctionnalité du système. L’appli Sophos Mobile Control n’a pas besoin d’être active.
Pour activer le mode Perdu administré :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils , cliquez sur le triangle bleu correspondant à l’appareil que vous voulez
verrouiller ou déverrouiller et cliquez sur Afficher.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Activer le mode Perdu administré.
4. Configurez les paramètres suivants :
Copyright © Sophos Limited
71
Sophos Mobile
Option
Description
Message de verrouillage de
l’écran
Texte affiché sur l’écran de verrouillage.
Numéro de téléphone
Un numéro de téléphone qui peut être composé à partir de
l’écran de verrouillage.
Pied de page
Texte de remarque affiché en bas de l’écran de verrouillage.
Si vous ne configurez pas de remarque, une remarque
standard avisant de contacter un administrateur est affichée.
Une tâche d’activation du mode Perdu administré est créée et transférée à l’appareil. Le mode
Perdu administré est activé immédiatement après que l’appareil ait reçu la tâche.
Lorsqu’un appareil est sous le mode Perdu administré, vous pouvez effectuer les actions suivantes
sur la page Affichage de l’appareil :
•
Pour géolocaliser l’appareil, utilisez Actions > Géolocaliser.
•
Pour faire sonner l’appareil, utilisez Actions > Faire sonner le mode Perdu.
•
Pour désactiver le mode Perdu administré, utilisez Actions > Désactiver le mode Perdu
administré.
Conseil
Pour savoir si le mode Perdu administré est activé, vérifiez la propriété de l’appareil
IsMDMLostModeEnabled.
11.5 Propriétés personnalisées de l’appareil
En plus des propriétés indiquées par l’appareil, vous pouvez ajouter des propriétés personnalisées à
l’appareil.
Lorsque vous ajoutez une propriété sous le nom ma propriété, vous pouvez faire référence à
la valeur de la propriété en utilisant l’espace réservé %_DEVPROP(ma propriété)_%. Retrouvez
plus de renseignements sur les espaces réservés à la section Espaces réservés dans les stratégies
(page 118).
Vous pouvez ajouter des propriétés personnalisées à un appareil des manières suivantes :
•
Vous ajoutez des propriétés personnalisées à un seul appareil. Retrouvez plus de
renseignements à la section Ajout d’une propriété personnalisées de l’appareil (page 72).
•
Vous créez des propriétés par défaut qui sont assignées aux appareils en tant que propriétés
personnalisées lorsque les appareils sont créés. Retrouvez plus de renseignements à la section
Création d’une propriété par défaut de l’appareil (page 73).
11.5.1 Ajout d’une propriété personnalisées de l’appareil
En plus des propriétés indiquées par l’appareil, vous pouvez ajouter des propriétés personnalisées à
l’appareil.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.
72
Copyright © Sophos Limited
Sophos Mobile
3. Sur la page Modification de l’appareil, rendez-vous dans l’onglet Propriétés personnalisées et
cliquez sur Ajouter une propriété personnalisée.
Si l’onglet Propriétés personnalisées n’est pas disponible, vérifiez que le paramètre système
Mode Expert est activé (sous Configuration > Général > Personnel).
4. Saisissez un nom et une valeur pour la propriété.
5. Cliquez sur Appliquer.
6. Cliquez sur Enregistrer.
La propriété personnalisée est ajoutée à l’appareil.
Remarque
Vous ne pouvez pas avoir une propriété personnalisée pour l’appareil sous le même nom qu’une
propriété de l’appareil.
11.5.2 Création d’une propriété par défaut de l’appareil
Vous pouvez créer des propriétés par défaut qui sont assignées aux appareils en tant que propriétés
personnalisées lorsque les appareils sont créés.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet
Propriétés par défaut de l’appareil.
2. Cliquez sur Ajouter une propriété personnalisée.
3. Saisissez un nom et une valeur pour la propriété.
4. Cliquez sur Appliquer.
5. Cliquez sur Enregistrer.
Remarque
Vous ne pouvez pas avoir une propriété personnalisée pour l’appareil sous le même nom qu’une
propriété de l’appareil.
Remarque
Si la même propriété par défaut est définie pour le client et pour le super administrateur, la valeur
définie pour le client est utilisée.
11.6 Inscription par code QR
L’inscription par code QR vous permet d’inscrire automatiquement les appareils Android Enterprise
gérés en lisant un code QR au cours de la configuration initiale de l’appareil. Utilisez cette fonction par
exemple pour préparer les appareils avant de les déployer à vos utilisateurs.
Conditions requises :
•
Vous avez installé Android Enterprise dans Sophos Mobile pour le scénario « Compte Google Play
d’entreprise ».
•
Les appareils que vous souhaitez inscrire utilisent Android 7 ou une version supérieure.
Tâches connexes
Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 378)
Copyright © Sophos Limited
73
Sophos Mobile
11.6.1 Configuration de l’inscription par code QR
Veuillez configurer les paramètres requis pour la création du code QR et l’inscription de l’appareil.
Condition préalable :
Vous avez créé une série de tâches pour l’inscription de l’appareil par code QR. Le groupe de
tâches doit avoir une tâche Assigner une stratégie pour une stratégie d’appareil Android Enterprise
et ne doit pas avoir une tâche Inscrire.
Pour configurer l’inscription par code QR :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Inscription par code QR.
2. Sélectionnez Configurer l’inscription par code QR Android Enterprise.
3. Sous Configurer le code QR, configurez les paramètres de configuration de l’appareil :
•
Activer les applis système : Sur les appareils Android Enterprise entièrement gérés,
les applications système dotées d’une icône de lancement sont désactivées par défaut.
Sélectionnez ce paramètres pour que toutes les apps système restent activées.
•
Langue : la langue de l’interface utilisateur Android.
•
Paramètres Wi-Fi : Sélectionnez le type de sécurité de la connexion Wi-Fi ou sélectionnez Ne
pas configurer la connexion Wi-Fi afin qu’aucun réseau ne soit configuré dans le code QR.
Dans ce cas, les utilisateurs devront se connecter manuellement à un réseau Wi-Fi lors de la
configuration de l’appareil.
•
Wi-Fi SSID : L’identifiant du réseau Wi-Fi.
•
SSID est masqué : Sélectionnez cette option si le réseau Wi-Fi est masqué.
•
Mot de passe Wi-Fi : Le mot de passe du réseau Wi-Fi.
Les appareils se connecteront automatiquement au réseau Wi-Fi s’ils sont disponibles.
4. Sous Configurer l’inscription, configurez le mode de gestion de l’appareil par Sophos Mobile :
•
Série de tâches : la série de tâches transférée sur l’appareil.
•
Groupe d’appareils : Le groupe d’appareils auquel les appareils sont assignés.
Le code QR s’affiche dans l’onglet Inscription par code QR. Vous pouvez l’imprimer pour l’utiliser
sans accéder à Sophos Mobile Admin.
Remarque
• Vous pouvez inscrire tous les appareils avec le même code QR.
•
Vous pouvez révoquer le code de connexion pour bloquer toute future inscription. Le code est
également révoqué lorsque vous en créez un nouveau.
Tâches connexes
Inscription d’appareils avec un code QR (page 75)
74
Copyright © Sophos Limited
Sophos Mobile
Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le
code QR lors de sa configuration initiale
11.6.2 Inscription d’appareils avec un code QR
Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le
code QR lors de sa configuration initiale
Restriction
L'inscription par code QR est possible à partir d’Android 7.
Conditions préalables :
•
Vous avez un compte d’utilisateur Sophos Mobile. Veuillez saisir les codes d’accès du compte
pendant le processus d’inscription.
•
Vous avez le code QR à portée de main.
Pour inscrire un appareil :
1. Allumez un nouvel appareil ou réinitialisez-le à ses paramètres d’usine s’il était déjà utilisé.
2. Sur la page Accueil de l’assistant de configuration Android, appuyez six fois au même endroit.
Un lecteur de code QR s’ouvre.
Sur certains appareils, vous devez vous connecter à un réseau Wi-Fi pour qu’Android puisse
télécharger le lecteur de code QR.
3. Lisez le code QR.
4. Si le code QR ne contient pas de configuration Wi-Fi ou si le réseau Wi-Fi n’est pas disponible,
connectez-vous manuellement à un réseau.
5. Suivez les instructions d’inscription.
L’appareil s’inscrit à Sophos Mobile en tant qu’appareil Android Enterprise entièrement géré.
Selon l’appareil, la procédure de configuration peut être plus courte qu’une configuration manuelle.
Par exemple, certaines étapes de configuration spécifiques au fournisseur peuvent être ignorées.
11.7 Inscription Zero-touch
L’inscription Zero-touch d’Android vous permet d’inscrire des séries d’appareils Android professionnels.
Les appareils Zero-touch s’inscrivent automatiquement à votre serveur Sophos Mobile en tant
qu’appareils Android Enterprise entièrement gérés lorsque les utilisateurs les activent.
Conditions requises
•
Vous avez un compte d’accès au portail d’inscription Zero-touch de Google. Généralement, le
vendeur de l’appareil vous crée un compte lorsque vous achetez vos premiers appareils.
•
Vous avez installé Android Enterprise dans Sophos Mobile pour le scénario Compte Google Play
d’entreprise. Retrouvez plus de renseignements à la section Installation d’Android Enterprise
(scénario Compte Google Play d’entreprise) (page 378).
Copyright © Sophos Limited
75
Sophos Mobile
Étapes de configuration
Pour utiliser l’inscription Zero-touch, procédez aux étapes suivantes :
1. Activez l’inscription Zero-touch dans Sophos Mobile Admin et configurez les détails de
l’inscription. Retrouvez plus de renseignements à la section Installation de l’inscription Zerotouch (page 76).
2. Créez une configuration pour Sophos Mobile dans le portail d’inscription Zero-touch de Google.
Retrouvez plus de renseignements à la section Création de la configuration Zero-touch (page
77).
3. Achetez des appareils équipés de la fonction Zero-touch auprès d’un revendeur agréé par
Google.
4. Assignez la configuration Zero-touch de Sophos Mobile aux appareils. Retrouvez plus de
renseignements à la section Déploiement des appareils Zero-touch (page 77).
Information associée
Site Web de l’inscription Zero-touch de Google (lien externe)
Aide de l’inscription Zero-touch de Google (lien externe)
11.7.1 Installation de l’inscription Zero-touch
Pour installer l’inscription Zero-touch dans Sophos Mobile Admin, configurez les paramètres appliqués
aux appareils Android Zero-touch (« appareils Zero-touch ») lorsqu’ils s’inscrivent à votre serveur
Sophos Mobile.
Condition préalable :
Vous avez créé une série de tâches pour l’inscription de l’appareil par code QR. Le groupe de
tâches doit avoir une tâche Assigner une stratégie pour une stratégie d’appareil Android Enterprise
et ne doit pas avoir une tâche Inscrire.
Pour créer une inscription Zero-touch :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Zero-touch.
2. Sélectionnez Utiliser l’inscription Zero-touch.
3. Sous Paramètres de configuration Zero-touch, sélectionnez Extras DPC pour configurer les
paramètres appliqués à l’appareil :
•
Langue : la langue de l’interface utilisateur Android.
•
Fuseau horaire : le fuseau horaire de l’appareil.
•
Activer les applis système : Sur les appareils Android Enterprise entièrement gérés,
les applications système dotées d’une icône de lancement sont désactivées par défaut.
Sélectionnez ce paramètres pour que toutes les apps système restent activées.
Selon vos paramètres, Sophos Mobile crée un code de configuration que vous devez saisir sur le
portail d’inscription Zero-touch de Google.
4. Sous Paramètres d’inscription, configurez l’inscription des appareils Zero-touch à Sophos
Mobile :
76
•
Groupe d’appareils : Le groupe d’appareils auquel les appareils sont assignés.
•
Série de tâches : la série de tâches transférée sur l’appareil.
Copyright © Sophos Limited
Sophos Mobile
5. Sélectionnez Enregistrer pour enregistrer les paramètres d’inscription.
Pour terminer l’installation de l’inscription Zero-touch, créez une configuration pour Sophos Mobile
sur le portail d’inscription Zero-touch de Google.
11.7.2 Création de la configuration Zero-touch
Une configuration Zero-touch contient toutes les informations utiles pour inscrire les appareils à votre
serveur Sophos Mobile. Vous créez cette configuration dans le portail d’inscription Zero-touch de
Google.
Cette procédure suppose que vous avez installé l’inscription Zero-touch dans Sophos Mobile Admin
comme décrit dans Installation de l’inscription Zero-touch (page 76).
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Zero-touch.
2. Cliquez sur Copier à côté de Extras DPC pour copier le code de configuration dans le bloc-notes.
3. Ouvrez le portail d’inscription Zero-touch de Google dans une nouvelle fenêtre.
4. Créez une configuration pour Sophos Mobile :
•
Dans EMM DPC, sélectionnez Sophos Mobile Control.
• Dans Extras DPC, saisissez le code de configuration que vous avez copié sur le bloc-notes.
5. Vous avez également la possibilité de sélectionner la configuration en tant que configuration par
défaut pour l’appliquer automatiquement à tous les nouveaux appareils.
Information associée
Portail d’inscription Zero-touch de Google (lien externe)
Aide de l’inscription Zero-touch de Google (lien externe)
11.7.3 Déploiement des appareils Zero-touch
Pour qu’un appareil Zero-touch (« appareil Zero-touch ») s’inscrive à votre serveur Sophos Mobile,
assignez-le à la configuration Sophos Mobile.
1. Assurez-vous que les appareils que vous voulez déployer sont enregistrés dans le portail
d’inscription Zero-touch de Google.
Généralement, le revendeur enregistre les appareils.
2. Sur le portail d’inscription Zero-touch de Google, assignez la configuration Sophos Mobile aux
appareils.
Autrement, sélectionnez la configuration Sophos Mobile en tant que configuration par défaut pour
l’assigner automatiquement aux nouveaux appareils.
3. Distribuez les appareils à vos utilisateurs.
Les utilisateurs doivent avoir un compte d’utilisateur Sophos Mobile.
Lorsqu’un utilisateur met en marche son appareil pour la première fois, l’assistant d’installation
Android démarre. Dès que l’appareil est connecté à Internet, il s’inscrit dans Sophos Mobile en tant
qu’appareil Android Enterprise entièrement géré.
Remarque
Si un appareil est déjà configuré lorsque vous l’enregistrez sur le portail d’inscription Zero-touch de
Google, il est réinitialisé à ses paramètres d’usine.
Copyright © Sophos Limited
77
Sophos Mobile
11.7.4 Désactivation de l’inscription Zero-touch
Pour désactiver l’inscription automatique des appareils Android Zero-touch (« appareils Zerotouch ») à Sophos Mobile :
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Zero-touch.
2. Cliquez sur Révoquer la configuration Zero-touch.
Les appareils Zero-touch se connectent toujours à votre serveur Sophos Mobile pour s’inscrire mais
le serveur refuse la demande.
Pour déconnecter Sophos Mobile complètement de l’inscription Zero-touch, supprimez la
configuration pour Sophos Mobile sur le portail d’inscription Zero-touch de Google.
11.8 Inscription Knox Mobile
Samsung Knox Mobile Enrollment (KME) vous permet d’inscrire une série d’appareils Samsung
professionnels avec Sophos Mobile. Les appareils Knox Mobile Enrollment s’inscrivent
automatiquement à votre serveur Sophos Mobile lorsque les utilisateurs les activent.
Conditions requises
•
Vous avez un compte Samsung.
•
Vous avez un compte d’accès au portail Samsung Knox.
•
La version 2.4 ou supérieure de Knox est installée sur les appareils à inscrire selon le scénario que
vous voulez utiliser. Par exemple, la gestion complète de l’appareil Android Enterprise nécessite
Knox à partir de la version 2.8.
•
Pour l’inscription sous le mode Android Enterprise, vous avez installé Android Enterprise
dans Sophos Mobile pour le scénario Compte Google Play d’entreprise. Retrouvez plus de
renseignements à la section Installation d’Android Enterprise (scénario Compte Google Play
d’entreprise) (page 378).
Étapes de configuration
Pour utiliser Knox Mobile Enrollment, procédez aux étapes suivantes :
1. Activez Knox Mobile Enrollment dans Sophos Mobile Admin et configurez les détails de
l’inscription. Retrouvez plus de renseignements à la section Installation de Knox Mobile
Enrollment (page 79).
2. Créez un profil pour Sophos Mobile dans la console Samsung Knox Mobile Enrollment.
Retrouvez plus de renseignements à la section Création d’un profil KME (page 79).
3. Achetez des appareils équipés de Knox Mobile Enrollment.
4. Assignez le profil KME pour Sophos Mobile aux appareils. Retrouvez plus de renseignements à
la section Déploiement des appareils KME (page 80).
Information associée
Site Web de Samsung Knox Mobile Enrollment (lien externe)
78
Copyright © Sophos Limited
Sophos Mobile
Guide d’utilisation de Samsung Knox Mobile Enrollment (lien externe)
11.8.1 Installation de Knox Mobile Enrollment
Pour installer Samsung Knox Mobile Enrollment (KME) dans Sophos Mobile Admin, veuillez configurer
les paramètres appliqués aux appareils KME lorsqu’ils s’inscrivent à votre serveur Sophos Mobile.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android
puis sur l’onglet Samsung KME.
2. Cliquez sur Utiliser Knox Mobile Enrollment.
3. Sous Paramètres d’inscription, configurez l’inscription automatique des appareils KME à Sophos
Mobile :
•
Groupe d’appareils : le groupe d’appareils auquel les appareils KME sont assignés.
•
Série de tâches (Android) : La série de tâches pour les appareils sur lesquels Sophos
Mobile sera administrateur de l’appareil Android.
•
Série de tâches (gestion complète de l’appareil Android Enterprise) : La série de tâches
pour les appareils Android Enterprise entièrement gérés.
Les listes indiquent les séries de tâches sans la tâche Inscrire.
Vous configurez le mode d’inscription dans le profil d’inscription MDM dans la console
Samsung Knox Mobile Enrollment.
•
Authentification de l’utilisateur : lorsque cette option est sélectionnée, l’utilisateur doit
saisir ses codes d’accès Sophos Mobile pendant la configuration de l’appareil. L’utilisateur
est assigné à l’appareil dans Sophos Mobile.
Lorsque cette option n’est pas sélectionnée, l’appareil s’inscrit à Sophos Mobile sans
assignation à un utilisateur.
4. Cliquez sur Enregistrer pour enregistrer les paramètres d’inscription.
Pour terminer l'installation de Knox Mobile Enrollment, créez un profil MDM pour Sophos Mobile
dans la console Samsung Knox Mobile Enrollment.
11.8.2 Création d’un profil KME
Un profil Knox Mobile Enrollment (KME) contient toutes les informations utiles pour inscrire les
appareils à votre serveur Sophos Mobile. Vous créez ce profil dans la console Samsung Knox Mobile
Enrollment.
Cette procédure suppose que vous avez installé Samsung Knox Mobile Enrollment dans Sophos
Mobile Admin comme décrit dans Installation de Knox Mobile Enrollment (page 79).
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android
puis sur l’onglet Samsung KME.
2. Ouvrez le portail Samsung Knox dans une nouvelle fenêtre et naviguez jusqu’à la console Knox
Mobile Enrollment.
3. Dans la console Knox Mobile Enrollment, créez un profil MDM pour Sophos Mobile.
Activez l’option propriétaire de l’appareil si vous souhaitez utiliser la gestion complète de l’appareil
Android Enterprise.
4. Configurez le profil avec les valeurs affichées dans Sophos Mobile Admin sous Configuration du
profil MDM.
Cliquez sur Copier à côté du champ dans Sophos Mobile Admin pour copier la valeur dans le
bloc-notes.
Copyright © Sophos Limited
79
Sophos Mobile
Vous pouvez configurer plus de paramètres de profil. Retrouvez plus de renseignements dans le
Guide d’utilisation de Samsung Knox Mobile Enrollment.
5. Enregistrez le profil.
Information associée
Console Samsung Knox Mobile Enrollment (lien externe)
Guide d’utilisation de Samsung Knox Mobile Enrollment (lien externe)
11.8.3 Déploiement des appareils KME
Pour qu’un appareil Knox Mobile Enrollment (« appareil KME ») s’inscrive à votre serveur Sophos
Mobile, assignez-le au profil Sophos Mobile.
1. Dans la console Knox Mobile Enrollment, assignez un profil Sophos Mobile aux appareils.
Si les appareils ne sont pas affichés dans la console Knox Mobile Enrollment, veuillez contacter
votre revendeur.
2. Distribuez les appareils à vos utilisateurs.
Si vous avez sélectionné Authentification de l’utilisateur dans les paramètres d’inscription KME
dans Sophos Mobile Admin, les utilisateurs doivent avoir un compte d’utilisateur Sophos Mobile.
Lorsqu’un utilisateur active l’appareil pour la première fois, un assistant d’installation de Knox Mobile
Enrollment démarre. Une fois que l’appareil s’est connecté à Internet, il s’inscrit à Sophos Mobile.
Selon le mode d’inscription que vous avez configuré dans le profil Sophos Mobile de la console
Knox Mobile Enrollment. Sophos Mobile utilise soit la gestion complète des appareils Android
Enterprise, soit l’autorisation d’administrateur des appareils Android pour gérer l’appareil.
11.8.4 Désactivation de Knox Mobile Enrollment
Pour désactiver l’inscription automatique des appareils Knox Mobile Enrollment (« appareil KME ») à
Sophos Mobile:
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android
puis sur l’onglet Samsung KME.
2. Cliquez sur Révoquer la configuration KME.
Les appareils KME se connectent toujours à votre serveur Sophos Mobile pour s’inscrire mais le
serveur refuse la demande.
Pour déconnecter Sophos Mobile complètement de Knox Mobile Enrollment, supprimez le profil de
Sophos Mobile dans la console Samsung Knox Mobile Enrollment.
11.9 Programme d’inscription d’appareils (DEP)
Apple
Grâce au Programme d’inscription d’appareils Apple (DEP), vous avez la possibilité d’acheter des
iPhones, iPads et des Macs en volume afin de les distribuer dans votre entreprise.
Le programme DEP simplifie le déploiement des appareils mobiles en offrant les fonctions
suivantes :
•
80
Processus d’activation configurable.
Copyright © Sophos Limited
Sophos Mobile
•
Configuration OTA (over-the-air).
•
Inscription automatique des appareils dans Sophos Mobile au cours de l’activation de l’appareil.
Étapes de préparation
Pour préparer la gestion des appareils DEP par Sophos Mobile, veuillez effectuer les étapes
suivantes une seule fois :
1. Sur le portail Web du Programme d’inscription d’appareils Apple, créez un serveur MDM virtuel
et créez un lien vers Sophos Mobile.
2. Dans Sophos Mobile, créez un ou plusieurs profils DEP qui contrôle divers attributs d’appareil
spécifiques au Programme d’inscription d’appareils Apple (DEP). Avec le profil DEP, vous
pouvez également personnaliser l’assistant d’installation qui démarre lorsque l’appareil est mis
en marche pour la première fois.
Étapes de déploiement
Lorsque vous achetez des appareils DEP, le processus de déploiement classique consiste à
effectuer les étapes suivantes :
1. Acheter les appareils chez Apple ou auprès d’un revendeur agréé participant au Programme
d’inscription d’appareils.
2. Sur le portail du Programme d’inscription d’appareils d’Apple, assigner les appareils au serveur
MDM de Sophos Mobile.
3. Assigner un profil DEP aux appareils dans Sophos Mobile Admin.
4. Distribuer les appareils à vos utilisateurs.
5. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant
d’installation personnalisée démarre. Au cours de l’installation, les appareils sont inscrits dans
Sophos Mobile et l’utilisateur est assigné à l’appareil. Les appareils seront supervisés.
6. Si nécessaire, vous avez la possibilité de transférer des séries de tâches supplémentaires aux
appareils pour compléter leur approvisionnement.
11.9.1 Installation du Programme d’inscription d’appareils Apple
(DEP)
Pour gérer les appareils du Programme d’inscription d’appareils Apple, vous devez créer un serveur
MDM virtuel sur le portail Web d’Apple DEP et le relier au serveur Sophos Mobile.
Conditions préalables :
•
Vous êtes inscrit(e) au Programme d’inscription d’appareils Apple (DEP) et avez créé un compte
d’administrateur pour le portail Web d’Apple DEP. Consultez le site Web d’Apple DEP à l'adresse
http://www.apple.com/fr/business/programs/ ou la page d’Aide des Programmes de déploiement
Apple.
•
Vous avez téléchargé un certificat du service Apple Push Notification (APNs) dans Sophos
Mobile. Retrouvez plus de renseignements à la section Création d’un certificat APNs (page 18).
Copyright © Sophos Limited
81
Sophos Mobile
Conseil
Si vous êtes déjà inscrit au Programme d’achats en volume (VPP) d’Apple, vous pouvez utiliser le
même identifiant Apple pour le Programme d’inscription d’appareils.
Pour configurer le Programme d’inscription d’appareils (DEP) Apple :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Apple DEP.
2. Cliquez sur télécharger la clé publique pour téléchargez le fichier de la clé publique de Sophos
Mobile pour le Programme d’inscription d’appareils (DEP) Apple.
Le fichier est enregistré localement sur votre ordinateur.
3. Ouvrez le portail Web du Programme d’inscription d’appareils Apple https://
deploy.apple.com dans une nouvelle fenêtre de navigation.
Vous pouvez effectuer cette opération en cliquant sur le lien Apple Business Manager dans
Sophos Mobile.
4. Connectez-vous au portail Web du Portail Web du Programme d’inscription d’appareils Apple à
l’aide de l’identifiant Apple de votre entreprise.
5. Sur le portail, allez sur Programme d’inscription d’appareils > Gérer les serveurs et cliquez
ensuite sur Ajouter un serveur MDM.
6. Saisissez un nom pour le serveur MDM, par exemple Sophos Mobile.
7. Téléchargez ensuite le fichier de la clé publique que vous avez téléchargée depuis Sophos Mobile.
8. Téléchargez ensuite le token du serveur.
À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils
Apple.
9. Sur l’onglet Apple DEP de Sophos Mobile, cliquez sur Télécharger un fichier pour sélectionner
le token du serveur que vous avez téléchargé à partir du portail Web du Programme d’inscription
d’appareils Apple.
10. Cliquez sur Enregistrer.
Le token du serveur du Programme d’inscription d’appareils est valide pendant un an.
Attention
Lorsque vous créez un nouveau token du serveur sur le portail Web du Programme d’inscription
d’appareils Apple, veuillez utiliser le même identifiant Apple que celui utilisé lors de la création
du premier token.
11.9.2 Réinitialisation du Programme d’inscription d’appareils
Apple (DEP)
Réinitialisez les informations du Programme d’inscription d’appareils Apple (DEP) stockées dans
Sophos Mobile pour supprimer votre token du Programme d’inscription d’appareils Apple (DEP) de
Sophos Mobile si, par exemple, vous avez téléchargé le mauvais token.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Apple DEP.
2. Cliquez sur Réinitialiser DEP.
Le token du Programme d’inscription d’appareils Apple (DEP), tous les appareils Apple DEP et tous
les profils Apple DEP sont supprimés de Sophos Mobile.
82
Copyright © Sophos Limited
Sophos Mobile
Pour arrêter l’administration des appareils Apple DEP avec Sophos Mobile, allez sur le portail
Web du Programme d’inscription d’appareils Apple (DEP) et supprimez Sophos Mobile en tant que
serveur MDM.
11.9.3 Création d’un profil du Programme d’inscription
d’appareils (DEP)
Vous devez créer un Programme d’inscription d’appareils Apple (DEP) avant de pouvoir créer des
profils du Programme d’inscription d’appareils. Retrouvez plus de renseignements à la section
Installation du Programme d’inscription d’appareils Apple (DEP) (page 81).
Un profil du Programme d’inscription d’appareils est assigné à un appareil du Programme
d’inscription d’appareils et fournit des informations au serveur Apple lorsque l’appareil est activé. Ces
informations inclut :
•
Le serveur MDM (c’est-à-dire Sophos Mobile) assigné pour administrer l’appareil.
•
Les options de configuration pour l’inscription à Sophos Mobile.
•
Une liste des hôtes pouvant être jumelés à l’appareil.
•
Les options de personnalisation pour l’assistant d’installation qui démarre lorsque l’appareil est mis
en marche pour la première fois.
Si nécessaire, vous pouvez créer plusieurs profils du Programme d’inscription d’appareils afin
d’utiliser différents paramètres d’installation et d’inscription pour vos appareils du Programme
d’inscription d’appareils.
Pour créer un profil du Programme d’inscription d’appareils (DEP) :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Profils Apple DEP.
2. Cliquez sur Ajouter.
3. Dans la boîte de dialogue Modification du profil du Programme d’inscription d’appareils,
saisissez les paramètres requis.
4. Pour assigner le profil à tous les nouveaux appareils du Programme d’inscription d’appareils
auxquels aucun profil n’a été assigné manuellement, sélectionnez le dans la liste Le profil DEP
par défaut assigné aux nouveaux appareils.
Lorsque vous sélectionnez Aucun, vous devez assigner manuellement un profil du Programme
d’inscription d’appareils aux nouveaux appareils du Programme d’inscription d’appareils
conformément aux instructions de la section Préparer les appareils DEP (page 83). Dans le cas
contraire, les appareils du Programme d’inscription d’appareils ne seront pas inscrits à Sophos
Mobile lors de leur activation.
5. Cliquez sur Enregistrer pour enregistrer vos modifications.
Référence associée
Paramètres de profil du Programme d’inscription d’appareils (iOS) (page 87)
Paramètres de profil du Programme d’inscription d’appareils (macOS) (page 92)
11.9.4 Préparer les appareils DEP
Avant de remettre les appareils DEP à vos utilisateurs, vous devez les assigner à Sophos Mobile et
leur assigner un profil DEP.
Copyright © Sophos Limited
83
Sophos Mobile
1. Ouvrez le portail Web du programme de déploiement Apple https://deploy.apple.com dans
votre navigateur Web et connectez-vous à l’aide de l’identifiant Apple de votre entreprise.
2. Sur le portail, allez dans Programme d’inscription d’appareils > Gérer les appareils.
3. Sous Choisir les appareils selon, sélectionnez vos nouveaux appareils par numéro de série,
numéro de commande ou téléchargez un fichier CSV incluant les numéros de série de vos
appareils.
Remarque
Si vous avez acheté vos appareils auprès d’un revendeur, ceux-ci sont mis à disposition sur
le portail du Programme d’inscription d’appareils sous les 24 heures suivant l’envoi de votre
commande à Apple par le revendeur.
4. Sous Choisir une action, sélectionnez Assigner au serveur puis sélectionnez le serveur MDM
virtuel que vous avez installé pour Sophos Mobile conformément aux instructions de la section
Installation du Programme d’inscription d’appareils Apple (DEP).
5. Cliquez sur OK pour procéder à l’assignation.
À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils
Apple.
Vous pouvez ignorer les étapes restantes si vous avez déjà configuré un profil du Programme
d’inscription d’appareils par défaut conformément aux instructions de la section Création d’un profil du
Programme d’inscription d’appareils (DEP).
6. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour
lequel vous voulez gérer les appareils du Programme d’inscription d’appareils.
7. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Programme d’inscription
d’appareils (DEP) Apple.
La page Programme d’inscription d’appareils (DEP) Apple contient une liste de tous les
appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription
d’appareils Apple.
8. Si les appareils que vous venez d'assigner à Sophos Mobile ne figure pas dans cette liste, cliquez
sur Synchronisation avec Apple Business Manager.
Remarque
Pour limiter la charge sur le serveur du Programme d’inscription d’appareils Apple, il est
uniquement possible de procéder à des opérations répétées de synchronisation lorsque le
temps d’attente est court.
9. Sélectionnez les nouveaux appareils et cliquez sur Actions > Assigner un profil.
10. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscription
d’appareils que vous voulez assigner aux appareils.
Lorsque les appareils que vous avez acheté seront livrés à votre entreprise, vous pourrez les
remettre à vos utilisateurs. Aucune autre configuration n’est nécessaire. Lorsque les utilisateurs
mettront leurs appareils en marche pour la première fois, la configuration d’iOS et l’inscription
à Sophos Mobile seront effectuées conformément à la configuration définie dans le profil du
Programme d’inscription d’appareils assigné. Les appareils seront supervisés.
Si vous avez sélectionné l’option du profil Assigner un utilisateur à l’appareil comme indiqué à
la section Création d’un profil du Programme d’inscription d’appareils (DEP), les utilisateurs sont
assignés automatiquement à leur appareil.
Tâches connexes
Installation du Programme d’inscription d’appareils Apple (DEP) (page 81)
84
Copyright © Sophos Limited
Sophos Mobile
Pour gérer les appareils du Programme d’inscription d’appareils Apple, vous devez créer un serveur
MDM virtuel sur le portail Web d’Apple DEP et le relier au serveur Sophos Mobile.
Création d’un profil du Programme d’inscription d’appareils (DEP) (page 83)
11.9.5 Gestion des appareils du Programme d’inscription
d’appareils
Les appareils du Programme d’inscription d’appareils sont administrés dans Sophos Mobile de la
même façon que le sont les appareils n’appartenant pas au Programme d’inscription d’appareils.
Retrouvez plus de renseignements à la section Gestion des appareils (page 53).
En revanche seul le Programme d’inscription d’appareils permet d’assigner un profil du Programme
d’inscription d’appareils à un appareil. Le profil du Programme d’inscription d’appareils fournit des
informations au serveur Apple lorsque l’appareil est activé. Retrouvez plus de renseignements à la
section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 83).
Remarque
Le profil du Programme d’inscription d’appareils affiché dans Sophos Mobile pourra être différent
du profil utilisé sur l’appareil. Si vous modifiez l’assignation après avoir activé l’appareil, celui-ci
continuera à utiliser le premier profil assigné jusqu’à ce qu’il soit réinitialisé et activé de nouveau.
Pour modifier le profil du Programme d’inscription d’appareils d’un appareil :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP.
La page Appareils du Programme d’inscription d’appareils Apple contient une liste de tous les
appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription
d’appareils Apple.
2. Cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareils Apple pour
mettre à jour les informations du Programme d’inscription d’appareils.
3. Sélectionnez les appareils auxquels vous voulez assigner un autre profil du Programme
d’inscription d’appareils.
4. Cliquez sur Actions, puis sur l’action requise :
•
Assigner un profil : sélectionnez le profil du Programme d’inscription d’appareils qui sera
assigné aux appareils lors de leur prochaine activation.
•
Retirer le profil assigné : n’assignez aucun profil du Programme d’inscription d’appareils à la
prochaine activation des appareils.
L’assignation du nouveau profil est affichée sur la page Appareils du Programme d’inscription
d’appareils Apple. Les modifications sont appliquées aux appareils après leur réinitialisation et leur
réactivation.
11.9.6 Ajout manuel d’un appareil DEP iOS
Vous pouvez enregistrer manuellement un iPhone ou un iPad dans le Programme d’inscription
d’appareils Apple (DEP). Utilisez cette méthode si, par exemple, vous avez acheté l’appareil
Copyright © Sophos Limited
85
Sophos Mobile
directement chez Apple ou auprès d’un distributeur agréé du Programme d’inscription d’appareils
Apple (DEP).
Attention
L’appareil est réinitialisé à ses paramètres d’usine.
1. Connectez l’appareil à un port USB d’un Mac sur lequel Apple Configurator 2.5 ou une version
supérieure est installée.
2. Dans Apple Configurator, allez dans Fichier > Nouveau profil > Wi-Fi pour créer un profil réseau
pour votre connexion Wi-Fi.
L’appareil a besoin de ce profil pour se connecter au serveur d’enregistrement du Programme
d’inscription d’appareils Apple (DEP).
3. Allez dans Préférences > Organisation et cliquez sur le bouton Plus pour créer une entrée pour
l’organisation.
Utilisez l’identifiant Apple et le mot de passe de votre compte Apple DEP. Sélectionnez-le
également pour créer une nouvelle identité de supervision.
4. Allez dans Préférences > Serveurs et cliquez sur le bouton Plus pour créer une entrée pour le
serveur.
Remarque
Vous pouvez saisir une valeur dans URL d’inscription. Apple Configurator n’utilise pas la
valeur lors de l’enregistrement des appareils DEP.
5. Sélectionnez l’appareil puis cliquez sur Préparer.
6. Sélectionnez Configuration manuelle et suivez les pages de l’assistant pour préparer l’appareil.
•
Sélectionnez le serveur et le profil réseau que vous avez créé auparavant.
•
Ignorer la configuration de l’assistant d’installation d’iOS. Vous la configurerez dans le profil
DEP de Sophos Mobile.
7. Patientez jusqu’à la fin de la procédure de préparation. N’éteignez pas l’appareil à ce stade.
Lorsque l’appareil est enregistré, sélectionnez son numéro de série dans le portail Apple DEP.
Avant de remettre l’appareil à l’utilisateur, inscrivez-le à Sophos Mobile comme indiqué à la section
Préparer les appareils DEP (page 83).
Information associée
Guide de l’utilisateur d’Apple Configurator 2 - Préparer les appareils manuellement (lien externe)
11.9.7 Configuration de la supervision des appareils
Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent
être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB.
Pour configurer un Mac pour la supervision d’appareil, téléchargez son certificat d’identité de
supervision dans le profil DEP iOS dans Sophos Mobile.
1. Sur le Mac, créez une nouvelle organisation dans Apple Configurator ou utilisez une organisation
déjà existante.
2. Ouvrez l’appli Trousseaux d’accès.
3. Sous Mes certificats, exportez le certificat de l’organisation.
Il y a un certificat pour chaque organisation que vous avez configuré dans Apple Configurator.
86
Copyright © Sophos Limited
Sophos Mobile
Dans la boîte de dialogue d’exportation, assurez-vous que le certificat est exporté au format
CER (extension de fichier .cer).
4. Sur votre profil DEP iOS dans Sophos Mobile, sous l’onglet Jumelage USB, configurez les
paramètres suivants :
a) Dessélectionnez la case Autoriser le jumelage USB avec tous les hôtes.
b) Sélectionnez Télécharger le certificat hôte pour télécharger le fichier de certificat.
5. Facultatif : Pour configurer un autre Mac pour la supervision d’appareil, procédez de la manière
suivante :
•
Téléchargez un autre certificat dans le profil DEP iOS.
•
Partagez l’organisation entre les Macs de la manière suivante :
Exportez l’organisation depuis Apple Configurator sur le premier Mac et importez-la sur le
second Mac.
•
Partagez l’identité de supervision entre les Macs de la manière suivante :
Sur le premier Mac, exportez l’identité de supervision depuis Apple Configurator au format
PKCS #12 (extension de fichier .p12). Sur le second Mac, ouvrez le fichier .p12 avec l’appli
Trousseaux d’accès.
Tâches connexes
Création d’un profil du Programme d’inscription d’appareils (DEP) (page 83)
Référence associée
Paramètres de profil du Programme d’inscription d’appareils (iOS) (page 87)
Information associée
Guide de l’utilisateur d’Apple Configurator 2 - Préférences d’entreprise (lien externe)
11.9.8 Paramètres de profil du Programme d’inscription
d’appareils (iOS)
Paramètres généraux
Paramètre
Description
Nom
Le nom du profil du Programme d’inscription
d’appareils.
Description
Une description facultative du profil du
Programme d’inscription d’appareils.
Copyright © Sophos Limited
87
Sophos Mobile
Paramètre
Description
Groupe d’appareils
Un groupe d’appareils qui sera assigné aux
appareils lors de leur inscription à Sophos
Mobile.
Retrouvez plus de renseignements sur les
groupes d’appareils à la section Groupes
d’appareils (page 101).
Pour simplifier la gestion des appareils, nous
vous conseillons d’utiliser un groupe d’appareils
distinct pour les appareils du Programme
d’inscription d’appareils.
Série de tâches
Une série de tâches qui sera transférée aux
appareils lors de leur inscription à Sophos
Mobile.
Cette liste inclut toutes les séries de tâches ne
contenant aucune tâche d’inscription.
Retrouvez plus de renseignements sur les
séries de tâches à la section Séries de tâches
(page 336).
Inscription
Paramètre
Description
L’utilisateur peut supprimer la stratégie
MDM
L’utilisateur peut supprimer le profil d’inscription
de Sophos Mobile à l’aide de l’interface
utilisateur.
Cette option peut uniquement être
dessélectionnée sur les appareils supervisés.
Installer l’appli SMC
Installer l’appli Sophos Mobile Control sur
l’appareil.
Si vous activez cette option, vous devez
également désactiver l’option Identifiant Apple
sur l’onglet Installation d’iOS afin de permettre
à Sophos Mobile d’installer l’appli à partir de la
boutique d’applis.
Autrement, si vous êtes inscrit au Programme
d’achats en volume (VPP) d’Apple, vous
pouvez installer l’appli Sophos Mobile en tant
qu’appli du Programme d’achat en volume,
même si l’appareil n’est pas associé à un
identifiant Apple. Les appareils doivent être
à l’état « administré ». Retrouvez plus de
renseignements à la section Assignation
automatique des apps du Programme d’achat
en volume (page 368).
88
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
L’utilisateur peut ignorer l’assignation de la
stratégie MDM
L’utilisateur peut ignorer l’étape d’installation
qui s’applique au profil d’inscription de Sophos
Mobile.
Assigner un utilisateur à l’appareil
Au cours du processus d’inscription dans
Sophos Mobile, les utilisateurs doivent fournir
leurs codes d’accès au Portail libre-service. Ils
sont ensuite assignés à l’appareil.
Utilisez cette option pour assigner
automatiquement un utilisateur à l’appareil.
Installation d’iOS
Sur l’onglet Installation d’iOS, désactivez les étapes de configuration de l’assistant d’installation qui
démarre lorsque l’appareil est mis en marche pour la première fois.
Remarque
Ces paramètres s’appliquent uniquement à l’assistant d’installation. Si vous désactivez une étape
de configuration, l’utilisateur sera toujours en mesure d’activer l’option adéquate ultérieurement.
Pour désactiver totalement une fonction, veuillez utiliser la configuration Restrictions. Retrouvez
plus de renseignements à la section Configuration des restrictions (stratégie d’appareil iOS) (page
207).
Paramètre
Description
Identifiant Apple
Ignorer la configuration d’un identifiant Apple.
L’utilisateur ne peut pas se connecter avec son
identifiant Apple pour accéder aux services
d’Apple.
Apple Pay
Ignorer la configuration d’Apple Pay.
L’utilisateur ne peut pas ajouter les
coordonnées d’une carte de crédit ou de
paiement dans les boutiques ou dans les applis
utilisant Apple Pay.
Services de géolocalisation
Ignorer la configuration des services de
géolocalisation. Les services de géolocalisation
sont désactivés.
Conditions générales d’utilisation
Ignorer la page Conditions générales
d’utilisation.
Disposition du clavier
Ignorer la configuration de la disposition du
clavier.
Confidentialité
Ignorer la page qui explique l’icône Données et
confidentialité.
Copyright © Sophos Limited
89
Sophos Mobile
90
Paramètre
Description
Nouvelles fonctions
Ignorer les pages qui expliquent les nouvelles
fonctions d’iOS.
Restaurer à partir de la sauvegarde
Ignorer la restauration des données à partir
d’une sauvegarde iCloud ou iTunes ou ignore
le transfert de données à partir d’un appareil
Android.
Désactiver « Transférer les données depuis
Android »
L’option de transfert de données à partir d’un
appareil Android n’est pas disponible.
Code secret
Ignorer la création d’un code confidentiel pour
déverrouiller l’appareil.
Afficher Zoom de l’écran
Ignorer la configuration de Afficher Zoom de
l’écran, c’est-à-dire une vue agrandie avec des
icônes, du texte et des boutons de plus grande
taille.
Retour haptique du bouton principal
À partir d’iPhone, ignorer la configuration du
Retour haptique du bouton principal (c’est-à-dire
le niveau de retour tactile lorsque vous cliquez
sur le bouton principal).
Forfait de données mobiles
Ignorer la configuration d’un forfait de données
cellulaires.
Temps d’écran
Ignorer la configuration du temps passé sur
l’écran (rapport et limite du temps passé sur
l’appareil).
Diagnostics
Ignorer la configuration des diagnostics. Les
données de diagnostics et d’utilisation ne sont
pas envoyées à Apple.
Touch ID et Face ID
Ignorer la configuration de Touch ID et de
Face ID. L’utilisateur ne peut pas utiliser
l’authentification biométrique à la place d’un
code d’accès pour s’identifier.
Siri
Ignorer la configuration de Siri. Siri est
désactivé.
Migration vers la montre
Ignorer la restauration des données de l’Apple
Watch à partir d’une sauvegarde iCloud ou
iTunes.
True Tone
Ignorer l’activation de True Tone (adaptation
automatique des couleurs d’affichage en
fonction des conditions d’éclairage ambiant).
iMessage et FaceTime
Ignorer l’activation d’iMessage et de FaceTime.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Information de mise à jour iOS
Ignorer la page qui informe les utilisateurs
que les mises à jour iOS sont installées
automatiquement.
Informations du support
Paramètre
Description
Service
Le nom du service ou du lieu associé au profil.
Ce nom est inclus dans les informations
auxquelles l’utilisateur a accès en cliquant sur
À propos de la configuration au cours de la
configuration de l’appareil.
Numéro de téléphone
Le numéro de téléphone du support de votre
entreprise.
Ce champ est pré-rempli avec les coordonnées
du contact du support technique. Retrouvez plus
de renseignements à la section Configuration du
contact du service informatique (page 16).
Le numéro de téléphone est conservé en
interne dans le profil du Programme d’inscription
d’appareils mais n’est pas mis à disposition de
l’utilisateur de l’appareil.
Email
L’adresse électronique du support de votre
entreprise.
Ce champ est pré-rempli avec l’adresse
électronique du contact du support technique.
Retrouvez plus de renseignements à la section
Configuration du contact du service informatique
(page 16).
L’adresse électronique est conservée en interne
dans le profil du Programme d’inscription
d’appareils mais n’est pas mise à disposition de
l’utilisateur de l’appareil.
Jumelage USB
Sur l’onglet Jumelage USB, vous pouvez limiter le jumelage USB des appareils DEP iOS aux
Macs sélectionnés. Le jumelage USB est requis pour connecter l’appareil à iTunes ou à Apple
Configurator.
Copyright © Sophos Limited
91
Sophos Mobile
Paramètre
Description
Autoriser le jumelage USB avec tous les
hôtes
Si vous sélectionnez cette case, vous pouvez
jumeler l’appareil avec tous les ordinateurs de
votre choix.
Si vous dessélectionnez cette case, vous
pouvez uniquement jumeler l’appareil avec
les Macs que vous avez configurés pour
la supervision d’appareil. Vous ne pouvez
pas jumeler l’appareil avec des ordinateurs
Windows.
Télécharger le certificat hôte
Téléchargez un certificat d’identité de
supervision.
Tous les Macs contenant le certificat dans leur
jeu de clés peuvent surveiller l’appareil.
Vous pouvez télécharger plusieurs certificats.
Remarque
Si vous désselectionnez Autoriser le jumelage USB avec tous les hôtes et ne téléchargez pas
un certificat, vous ne pourrez pas connecter l’appareil à iTunes ou à Apple Configurator.
Tâches connexes
Création d’un profil du Programme d’inscription d’appareils (DEP) (page 83)
Configuration de la supervision des appareils (page 86)
Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent
être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB.
11.9.9 Paramètres de profil du Programme d’inscription
d’appareils (macOS)
Paramètres généraux
92
Paramètre
Description
Nom
Le nom du profil du Programme d’inscription
d’appareils.
Description
Une description facultative du profil du
Programme d’inscription d’appareils.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Groupe d’appareils
Un groupe d’appareils qui sera assigné aux
appareils lors de leur inscription à Sophos
Mobile.
Retrouvez plus de renseignements sur les
groupes d’appareils à la section Groupes
d’appareils (page 101).
Pour simplifier la gestion des appareils, nous
vous conseillons d’utiliser un groupe d’appareils
distinct pour les appareils du Programme
d’inscription d’appareils.
Série de tâches
Une série de tâches qui sera transférée aux
appareils lors de leur inscription à Sophos
Mobile.
Cette liste inclut toutes les séries de tâches ne
contenant aucune tâche d’inscription.
Retrouvez plus de renseignements sur les
séries de tâches à la section Séries de tâches
(page 336).
Inscription
Paramètre
Description
L’utilisateur peut ignorer l’assignation de la
stratégie MDM
L’utilisateur peut ignorer l’étape d’installation
qui s’applique au profil d’inscription de Sophos
Mobile.
Assigner un utilisateur à l’appareil
Au cours du processus d’inscription dans
Sophos Mobile, les utilisateurs doivent fournir
leurs codes d’accès au Portail libre-service. Ils
sont ensuite assignés à l’appareil.
Utilisez cette option pour assigner
automatiquement un utilisateur à l’appareil.
Installation de macOS
Sur l’onglet Installation de macOS, désactivez les étapes de configuration de l’assistant
d’installation qui démarre lorsque l’appareil est mis en marche pour la première fois.
Copyright © Sophos Limited
93
Sophos Mobile
Remarque
Ces paramètres s’appliquent uniquement à l’installation macOS. Si vous désactivez une étape de
configuration, l’utilisateur sera toujours en mesure d’activer l’option adéquate ultérieurement. Pour
désactiver totalement une fonction, veuillez utiliser la configuration Restrictions. Retrouvez plus
de renseignements aux sections Configuration des restrictions (stratégie d’appareil macOS) (page
266) et Configuration des restrictions (stratégie d’utilisateur macOS) (page 287).
94
Paramètre
Description
Identifiant Apple
Ignorer la configuration d’un identifiant Apple.
L’utilisateur ne peut pas se connecter avec son
identifiant Apple pour accéder aux services
d’Apple.
Apple Pay
Ignorer la configuration d’Apple Pay.
L’utilisateur ne peut pas ajouter les
coordonnées d’une carte de crédit ou de
paiement dans les boutiques ou dans les applis
utilisant Apple Pay.
Chiffrement de disques FileVault
Ignorer la configuration du chiffrement de disques
FileVault. FileVault est désactivé.
Conditions générales d’utilisation
Ignorer la page Conditions générales
d’utilisation.
Code secret
Ignorer la création d’un code confidentiel pour
déverrouiller l’appareil.
Apparence
Ignorer la configuration de l’apparence de l’interface
utilisateur (claire ou sombre).
Restaurer à partir de la sauvegarde
Ignorer la restauration des données à partir d’une
sauvegarde iCloud ou iTunes.
Diagnostics
Ignorer la configuration des diagnostics. Les
données de diagnostics et d’utilisation ne sont
pas envoyées à Apple.
Services de géolocalisation
Ignorer la configuration des services de
géolocalisation. Les services de géolocalisation
sont désactivés.
Touch ID et Face ID
Ignorer la configuration de Touch ID et de
Face ID. L’utilisateur ne peut pas utiliser
l’authentification biométrique à la place d’un
code d’accès pour s’identifier.
Confidentialité
Ignorer la page qui explique l’icône Données et
confidentialité.
iCloud Drive
Ignorer l’activation du téléchargement automatique des
fichiers depuis les Documents ou le Bureau vers iCloud
Drive.
Enregistrement
Ignorer la création d’un compte sur l’ordinateur.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Analyse iCloud
Ignorer la configuration de l’Analyse iCloud. Les
données de diagnostics et d’utilisation du compte
iCloud ne sont pas envoyées à Apple.
Siri
Ignorer la configuration de Siri. Siri est
désactivé.
True Tone
Ignorer l’activation de True Tone (adaptation
automatique des couleurs d’affichage en
fonction des conditions d’éclairage ambiant).
Afficher Zoom de l’écran
Ignorer la configuration de Afficher Zoom de
l’écran, c’est-à-dire une vue agrandie avec des
icônes, du texte et des boutons de plus grande
taille.
Informations du support
Paramètre
Description
Service
Le nom du service ou du lieu associé au profil.
Ce nom est inclus dans les informations
auxquelles l’utilisateur a accès en cliquant sur
À propos de la configuration au cours de la
configuration de l’appareil.
Numéro de téléphone
Le numéro de téléphone du support de votre
entreprise.
Ce champ est pré-rempli avec les coordonnées
du contact du support technique. Retrouvez plus
de renseignements à la section Configuration du
contact du service informatique (page 16).
Le numéro de téléphone est conservé en
interne dans le profil du Programme d’inscription
d’appareils mais n’est pas mis à disposition de
l’utilisateur de l’appareil.
Email
L’adresse électronique du support de votre
entreprise.
Ce champ est pré-rempli avec l’adresse
électronique du contact du support technique.
Retrouvez plus de renseignements à la section
Configuration du contact du service informatique
(page 16).
L’adresse électronique est conservée en interne
dans le profil du Programme d’inscription
d’appareils mais n’est pas mise à disposition de
l’utilisateur de l’appareil.
Copyright © Sophos Limited
95
Sophos Mobile
Tâches connexes
Création d’un profil du Programme d’inscription d’appareils (DEP) (page 83)
11.10 Intégration de Duo Security
Vous pouvez connecter Sophos Mobile au logiciel d’authentification Duo Security. Ceci permet à Duo
Security d’identifier les appareils fiables en fonction de leur état d’administration dans Sophos Mobile.
Pour déterminer l’état de confiance d’un appareil, Duo Security utilise différentes approches pour
Android et iOS :
•
Pour les appareils Android, Duo Security récupère l’état de confiance via l’interface du service Web
de Sophos Mobile.
•
Pour les iPhones et les iPads, Duo Security détermine l’état de confiance par l’existence d’un
certificat sur l’appareil.
Remarque
Retrouvez plus de renseignements sur les appareils fiables dans la documentation Duo Security.
11.10.1 Configuration de l’intégration de Duo Security pour les
appareils Android
Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos
appareils Android.
1. Dans Sophos Mobile, créez un administrateur avec le rôle Duo API.
2. Dans Duo Admin Panel, saisissez le nom et le mot de passe de cet administrateur.
Retrouvez plus de renseignements dans la documentation de Duo Security.
Pour déterminer l’état de fiabilité d’un appareil Android, l’app Duo Mobile pour Android communique
le numéro d’ID de l’appareil au serveur Duo Security. Le serveur Duo Security récupère ensuite l’état
de l’appareil via l’interface du service Web de Sophos Mobile et considère les appareils administrés
comme fiables.
Concepts connexes
Rôles d’utilisateur (page 5)
Tâches connexes
Création d’administrateurs (page 416)
11.10.2 Configurer l’intégration de Duo Security pour les
iPhones et les iPads
Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos
iPhones et iPads.
1. Configurez la connexion au serveur de certificat Duo :
a) Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de
Sophos puis sur l’onglet Duo Security.
b) Saisissez les paramètres fournis par Duo Security.
96
Copyright © Sophos Limited
Sophos Mobile
2. Ajoutez une configuration Certificat d’appareil Duo à la stratégie d’appareil que vous utilisez pour
vos iPhones et iPads.
3. Exécutez l’action de l’appareil Mettre à jour les appareils.
Un certificat d’appareil Duo va être installé sur les appareils. L’appli Duo Mobile détecte le certificat
et considère les appareils comme fiables.
Tâches connexes
Assignation d’une stratégie (page 119)
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
Référence associée
Certificat d’appareil Duo (stratégie d’appareil iOS) (page 245)
11.11 Contrôle à distance TeamViewer
TeamViewer est un outil de contrôle à distance tiers. L’intégration de TeamViewer vous permet de
lancer une session de contrôle à distance avec un appareil Android, un iPhone ou un iPad dans
Sophos Mobile sans utiliser d’identifiant de session ou de mot de passe.
11.11.1 Intégration de TeamViewer
Pour démarrer des sessions TeamViewer depuis Sophos Mobile, vous devez créer une application
TeamViewer et la relier à Sophos Mobile.
Pour utiliser TeamViewer avec Sophos Mobile, vous avez besoin des éléments suivants :
•
Une licence TeamViewer
•
Le complément de licence pour la prise en charge des appareils mobiles
Pour créer l’intégration de TeamViewer :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet TeamViewer.
2. Cliquez sur Assistant de configuration de TeamViewer.
L’assistant vous guide tout au long du processus d’installation :
a) Créez un compte TeamViewer.
b) Créez une application dans la console d’administration TeamViewer et reliez-la à Sophos
Mobile.
3. Installez le logiciel TeamViewer :
a) Rendez-vous sur l’ordinateur connecté à Sophos Mobile. Installez le client TeamViewer
Windows depuis le site Web de TeamViewer.
b) Sur les appareils que vous voulez contrôler, installez l’app TeamViewer QuickSupport depuis
Google Play ou depuis l’App Store.
Lorsque vous avez installé l’intégration de TeamViewer, l’action de l’appareil Demander le contrôle
à distance est disponible.
Information associée
Site Internet de TeamViewer (lien externe)
Console d’administration TeamViewer (lien externe)
Copyright © Sophos Limited
97
Sophos Mobile
11.11.2 Démarrage d’une session TeamViewer
Vous pouvez démarrer une session TeamViewer avec un appareil Android, un iPhone ou un iPad
depuis Sophos Mobile Admin.
En fonction de votre licence TeamViewer, vous ne pourrez démarrer qu’un certain nombre de
sessions par heure.
Pour démarrer une session TeamViewer :
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur l’appareil que vous voulez contrôler.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Demander le contrôle à distance.
Une session TeamViewer va être démarrée sur votre ordinateur et sur l’appareil sélectionné. Dès
que l’utilisateur aura validé la connexion, vous pourrez contrôler l’appareil.
Pour démarrer une session de suivi avec le même appareil, l’utilisateur doit d’abord fermer le client
TeamViewer.
11.12 Sophos Chrome Security
Sophos Chrome Security est une extension de sécurité pour les appareils Chrome.
Restriction
Cette fonctionnalité n’est pas disponible avec la licence Mobile Standard.
L’inscription de Sophos Chrome Security à Sophos Mobile permet d’effectuer les tâches suivantes :
•
Rechercher l’appareil.
•
Envoyer un message à l’appareil.
•
Configurer les sites Web auxquels les utilisateurs sont autorisés à accéder.
Types d’inscription
•
Inscription manuelle :
Vous pouvez enregistrer un appareil Chrome dans Sophos Mobile à l’aide de l’assistant Ajouter
un appareil ou de Sophos Mobile Self Service Portal. L’utilisateur doit installer Sophos Chrome
Security sur son appareil et saisir un token d’inscription.
•
Inscription automatique :
Si vous utilisez Google Workspace (anciennement G Suite), vous pouvez configurer Sophos
Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un
utilisateur Google Workspace se connecte à un appareil Chrome.
Conseil
Pour l’inscription manuelle, l’utilisateur assigné à l’appareil peut être un utilisateur différent de
l’utilisateur Google qui inscrit Sophos Chrome Security. Pour obtenir le nom de l’utilisateur Google,
vérifiez la propriété system_user_account de l’appareil sur la page Affichage de l’appareil.
98
Copyright © Sophos Limited
Sophos Mobile
Concepts connexes
Page Affichage de l’appareil (page 54)
La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur
l’appareil de votre choix.
Tâches connexes
Utilisation de l’assistant Ajouter un appareil (page 47)
Configuration de l’inscription automatique à Sophos Chrome Security (page 99)
Si vous utilisez Google Workspace (anciennement G Suite), vous pouvez configurer l’extension
Sophos Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un
utilisateur Google Workspace se connecte à un appareil Chrome.
11.12.1 Configuration de l’inscription automatique à Sophos
Chrome Security
Si vous utilisez Google Workspace (anciennement G Suite), vous pouvez configurer l’extension
Sophos Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un
utilisateur Google Workspace se connecte à un appareil Chrome.
Pour configurer l’inscription automatique à Sophos Chrome Security :
1. Sur le menu latéral, sélectionnez Configuration > Configuration de Chrome OS puis l’onglet G
Suite.
2. Sélectionnez Générer le code de connexion.
3. Configurez les paramètres suivants :
Option
Description
Propriétaire
Indiquez si les appareils (Professionnel)
appartiennent à l’entreprise ou aux utilisateurs
(Personnel).
Groupe d’appareils
Le groupe d’appareils Sophos Mobile auquel
vous souhaitez assigner les appareils.
Stratégie Chrome Security
Facultatif : La stratégie de Chrome Security
que vous voulez assigner à l’extension après
son inscription.
Inscrire uniquement sur les appareils
Chrome Enterprise
Facultatif : Sophos Chrome Security s’inscrit
automatiquement avec Sophos Mobile
uniquement sur les appareils Chrome
Enterprise.
Vous devez acheter le service Chrome
Enterprise Upgrade auprès de Google pour
inscrire les appareils Chrome Enterprise.
Retrouvez plus de renseignements sur
Chrome Enterprise dans l’Aide de Google
Chrome Enterprise.
4. Cliquez sur Enregistrer.
5. Sélectionnez Copier à côté de Code de connexion pour copier la valeur dans le bloc-notes.
Effectuez les étapes restantes dans la console Google Admin :
Copyright © Sophos Limited
99
Sophos Mobile
6. Connectez-vous à la console Google Admin avec votre compte Google Workspace.
7. Allez dans Gestion des appareils > Gestion de Chrome > Applis et extensions.
8. Facultatif : Ajoutez une unité organisationnelle.
9.
10.
11.
12.
Sophos Chrome Security inscrit automatiquement les utilisateurs de cette unité organisationnelle
uniquement.
Sélectionnez le bouton + en bas à droite, puis sélectionnez Sélectionner dans Chrome App
Store.
Recherchez Sophos Chrome Security puis sélectionnez Sélectionner.
Dans Stratégie pour les extensions, saisissez le code de connexion de Sophos Mobile.
Dans Stratégie d’installation, sélectionnez l’une des options suivantes :
•
Forcer l’installation : Installe Sophos Chrome Security automatiquement et empêche les
utilisateurs de le supprimer.
•
Forcer l’installation + code confidentiel: Identique à Forcer l’installation, cette option
épingle Sophos Chrome Security à la barre des tâches de Chrome OS.
13. Enregistrez vos paramètres.
Lorsqu’un utilisateur Google Workspace se connecte à un appareil Chrome avec son compte G Suite,
Sophos Chrome Security est automatiquement installée et inscrite à Sophos Mobile. Vous pouvez
gérer l’extension depuis la page Appareils dans Sophos Mobile Admin.
Si nécessaire, vous pouvez révoquer le code de connexion pour bloquer toute inscription future. Les
extensions Sophos Chrome Security déjà inscrites ne sont pas affectées.
Information associée
Console Google Admin
Aide de Google Chrome Enterprise : Introduction à Chrome Enterprise
100
Copyright © Sophos Limited
Sophos Mobile
12 Groupes d’appareils
Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Ils vous permettent de
gérer les appareils de manière plus efficace en effectuant les tâches sur un groupe plutôt que sur
chaque appareil individuellement.
Un appareil appartient toujours et uniquement à un seul groupe d’appareils. Vous assignez un
appareil à un groupe d’appareils lorsque vous l’ajoutez dans Sophos Mobile.
Conseil
Regroupez les appareils par système d’exploitation. En effet, il est plus facile d’utiliser les groupes
pour effectuer des tâches d’installation et des tâches spécifiques aux systèmes d’exploitation.
12.1 Création d’un groupe d’appareils
1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils puis sur Créer un groupe
d’appareils.
2. Sur la page Modification du groupe d’appareils, saisissez un nom et une description pour le
nouveau groupe d’appareils.
3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité appliquées aux
appareils professionnels et personnels.
4. Cliquez sur Enregistrer.
Remarque
Les paramètres du groupe d’appareils incluent l’option Activer l’inscription automatique
d’iOS. Cette option vous permet d’inscrire les iPhones et iPads dans Apple Configurator.
Retrouvez plus de renseignements à la section Inscription automatique des appareils iPhone
et iPad (page 49).
Le nouveau groupe d’appareils est créé et apparaît sur la page Groupes d’appareils.
12.2 Suppression des groupes d’appareils
1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils.
2. Sur la page Groupes d’appareils, cliquez sur le triangle bleu correspondant au groupe que vous
souhaitez supprimer et cliquez sur Supprimer.
3. Dans la boîte de dialogue de confirmation, sélectionnez l’un des groupes d’appareils restants
auquel les appareils du groupe d’appareils à supprimer seront réassignés.
Cette sélection n’est pas disponible lorsqu’il n’ y a aucun appareil assigné au groupe d’appareils.
4. Cliquez sur Oui pour supprimer le groupe d’appareils.
Remarque
Lorsqu’il n’y a plus qu’un seul groupe d’appareils et que les appareils lui sont assignés, vous ne
pouvez pas supprimer ce groupe d’appareils.
Copyright © Sophos Limited
101
Sophos Mobile
13 Utilisateurs
La page Utilisateurs/groupes vous permet d’administrer vos comptes d’utilisateur Sophos Mobile.
Gestion des utilisateurs
Lorsque vous créez un client dans Sophos Mobile, vous pouvez choisir entre les types de gestion
des utilisateurs suivants :
Gestion des utilisateurs internes
Vous créez des comptes d’utilisateur dans
Sophos Mobile.
Gestion des utilisateurs externes
vous créez des comptes d’utilisateur dans
l’annuaire LDAP (par exemple Active Directory)
et connectez l’annuaire LDAP à Sophos Mobile.
Retrouvez plus de renseignements à la section
Configuration d’une connexion à l’annuaire
externe (page 104).
Authentification fédérée
Vous créez des comptes d’utilisateur dans
Azure Active Directory (Azure AD). Lorsque les
utilisateurs se connectent au Sophos Mobile Self
Service Portal, ils s’authentifient à Azure AD.
Retrouvez plus de renseignements à la section
Configuration de l’authentification fédérée (page
107).
Détails de l'utilisateur
Pour la gestion des utilisateurs internes, la page Utilisateurs/groupes affiche les utilisateurs que
vous avez ajouté à Sophos Mobile.
Pour la gestion des utilisateurs externes et l’authentification fédérée, la page Utilisateurs/groupes
affiche uniquement les utilisateurs de Sophos Mobile :
•
Les utilisateurs assignés à un appareil administré par Sophos Mobile.
•
Les utilisateurs assignés à une app du Programme d’achat en volume d’Apple (VPP).
Cliquez sur un nom d’utilisateur pour voir les informations le concernant.
Importation des utilisateurs
Pour la gestion des utilisateurs internes, vous pouvez importer les utilisateurs à partir d’un fichier
CSV. Retrouvez plus de renseignements à la section Importation des utilisateurs (page 109).
Groupes d’utilisateurs
Les groupes d’utilisateurs vous permettent de contrôler l’accès à Sophos Mobile Self Service Portal
et les options d’inscription disponibles. Pour créer une configuration Sophos Mobile Self Service
Portal pour certains utilisateurs uniquement, ajoutez-le à un groupe d’utilisateurs et assignez ce
102
Copyright © Sophos Limited
Sophos Mobile
groupe à la configuration Sophos Mobile Self Service Portal. Retrouvez plus de renseignements à la
section Configuration du Portail libre-service (page 28).
Pour la gestion des utilisateurs internes, ajoutez des utilisateurs aux groupes dans Sophos Mobile
Admin. Retrouvez plus de renseignements à la section Création de groupes d’utilisateurs (page
110).
Pour la gestion des utilisateurs externes, Sophos Mobile utilise les groupes définis dans votre
annuaire LDAP.
Pour l’authentification fédérée, Sophos Mobile utilise les groupes définis dans Azure AD.
13.1 Configuration de la gestion des utilisateurs du
Portail libre-service
Remarque
Sur Sophos Mobile (version locale), la gestion des utilisateurs pour le Portail libre-service est
configurée par le super administrateur au moment de la création du client. Retrouvez plus de
renseignements dans le Guide du super administrateur de Sophos Mobile (anglais).
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Configuration de l’utilisateur.
2. Sous Assignation de l’appareil, sélectionnez l’action à prendre lorsque vous supprimez un
utilisateur assigné à un appareil :
Option
Description
Retirer l’utilisateur assigné à l’appareil
L’assignation de l’utilisateur est supprimée.
L’état de l’appareil est inchangé.
Désinscrire et supprimer l’appareil
L’appareil est désinscrit de Sophos Mobile et
supprimé.
Désinscrire l’appareil
L’appareil est désinscrit de Sophos Mobile.
L’état de l’appareil change sur Désinscrit.
Ce paramètre n’est pas disponible lorsque vous utilisez la gestion des utilisateurs externes.
3. Sous Mode de gestion des utilisateurs, sélectionnez la manière dont Sophos Mobile gère les
comptes d’utilisateur :
Option
Description
Aucun. PLS, stratégie d’utilisateur ou
administrateur LDAP indisponible.
La gestion des utilisateurs est désactivée.
Vous ne pouvez pas assigner d’utilisateurs
aux appareils et vous ne pouvez pas utiliser le
Sophos Mobile Self Service Portal.
Annuaire interne
Vous créez des comptes d’utilisateur et des
groupes d’utilisateurs dans Sophos Mobile.
Annuaire LDAP externe
Sophos Mobile utilise les comptes d’utilisateur
et les groupes d’utilisateurs à partir d’un
annuaire LDAP.
Authentification fédérée Azure AD
Vous créez des comptes d’utilisateur et des
groupes d’utilisateurs dans Azure Active
Directory (Azure AD). Lorsque les utilisateurs
Copyright © Sophos Limited
103
Sophos Mobile
Option
Description
se connectent au Sophos Mobile Self Service
Portal, ils s’authentifient à Azure AD.
Retrouvez plus de renseignements à la
section Configuration de l’authentification
fédérée (page 107).
4. Pour la gestion des utilisateurs externes, cliquez sur Configurer le LDAP externe pour configurer
la connexion à votre annuaire LDAP.
Retrouvez plus de renseignements à la section Configuration d’une connexion à l’annuaire externe
(page 104).
5. Cliquez sur Enregistrer.
Après avoir défini le mode de gestion des utilisateurs, vous ne pouvez pas directement passer à un
mode différent. Sélectionnez plutôt Aucun. PLS, stratégie d’utilisateur ou administrateur LDAP
indisponible. pour que toutes les options soient de nouveau disponibles.
Remarque
Vous ne pouvez pas changer le mode de gestion des utilisateurs dans les situations suivantes :
•
Des utilisateurs sont assignés aux appareils.
•
Des licences du Programme d’achat en volume d’Apple (VPP) sont assignées aux utilisateurs.
13.2 Configuration d’une connexion à l’annuaire
externe
Pour gérer les comptes d’utilisateur pour Sophos Mobile Admin et le portail libre-service dans un
annuaire d’utilisateurs LDAP externe, vous devez configurer la connexion à votre serveur LDAP.
Sophos Mobile peut se connecter aux serveurs LDAP suivants :
•
Active Directory
•
Google Cloud Directory
•
HCL Domino
•
NetIQ eDirectory
•
Red Hat Directory Server
•
Zimbra
Retrouvez plus de renseignements sur les versions compatibles dans les Notes de publication de
Sophos Mobile 9.6 (anglais).
Retrouvez plus de renseignements sur Active Directory dans l’article 128081 de la base de
connaissances.
Retrouvez plus de renseignements sur Google Cloud Directory dans l’article 132870 de la base de
connaissances.
104
Copyright © Sophos Limited
Sophos Mobile
Remarque
Il n’y a pas de synchronisation entre le répertoire LDAP et Sophos Mobile. Sophos Mobile accède
uniquement au répertoire LDAP pour consulter les informations sur l’utilisateur. Les modifications
d’un compte d’utilisateur LDAP ne sont pas appliquées sur la base de données Sophos Mobile et
vice versa.
Pour configurer une connexion LDAP à un répertoire utilisateur externe :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Configuration de l’utilisateur.
2. Sélectionnez Annuaire LDAP externe.
3. Cliquez sur Configurer le LDAP externe.
La configuration dépend du type de serveur LDAP. Les instructions suivantes s’appliquent à Active
Directory.
4. Sur la page Détails du serveur, configurez les paramètres suivants :
a) Dans le champ Type de LDAP, sélectionnez le type de serveur LDAP :
b) Dans le champ URL principale, saisissez l’adresse IP ou le nom du serveur d’annuaire
principal.
Sélectionnez SSL/TLS pour utiliser LDAP sur SSL (LDAPS) pour la connexion au serveur.
Remarque
Pour Active Directory, LDAPS est obligatoire. Retrouvez plus de renseignements sur la
configuration de LDAPS pour Active Directory dans le document Microsoft Step by Step
Guide to Setup LDAPS on Windows Server.
c) Facultatif : Dans le champ URL secondaire, saisissez l’adresse IP ou le nom d’un serveur
d’annuaire que Sophos Mobile utilisera si le serveur principal ne peut pas être joint.
d) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès que Sophos Mobile
va utiliser pour s’authentifier au serveur LDAP.
Veuillez utiliser l’un des formats suivants :
•
<domaine>\<nom d’utilisateur>
•
<nom d’utilisateur>@<domaine>.<code du domaine>
Remarque
Pour des raisons de sécurité, nous vous conseillons de sélectionner un compte sans
aucune autorisations en écriture sur l’annuaire.
5. Sur la page Base de recherche, saisissez le nom unique (distinguished name) ou DN de l’objet de
la base de recherche.
L’objet de la base de recherche définit l’emplacement de l’annuaire à partir duquel la recherche
LDAP commence.
6. Sur la page Champs de recherche, configurez les attributs du service d’annuaire qui contient les
propriétés de l’utilisateur que Sophos Mobile utilise.
Sélectionnez les noms de l’attribut dans la liste ou saisissez-les manuellement.
Utilisez les mappages suivants pour Active Directory :
Copyright © Sophos Limited
105
Sophos Mobile
Propriété dans Sophos Mobile
Attribut dans Active Directory
Nom d’utilisateur
sAMAccountName
Prénom
givenName
Nom
sn
Email
mail
7. Sur la page Configuration du SSP, indiquez les utilisateurs autorisés à se connecter au Portail
libre-service. Saisissez les informations adéquates dans le champ Groupe de répertoires LDAP à
l’aide d’une des options suivantes :
•
Si vous saisissez un groupe d’utilisateurs dans votre annuaire LDAP, Sophos Mobile recherche
les utilisateurs dans ce groupe et dans tous les sous-groupes.
Après avoir saisi le nom du groupe, cliquez sur Tester le groupe pour résoudre le nom du
groupe en un nom unique.
•
Si vous saisissez un seul astérisque *, Sophos Mobile recherche les utilisateurs dans tous
les groupes définis dans votre annuaire LDAP. Il ne recherche pas les utilisateurs qui ne sont
membres d’aucun groupe.
•
Si vous ne renseignez pas ce champ, aucun utilisateur ne pourra se connecter au Portail libreservice. Utilisez cette option si vous voulez activer la gestion des utilisateurs externes pour
Sophos Mobile Admin et pas pour le Portail libre-service.
Remarque
Le groupe que vous indiquez ici n’a aucun rapport avec le groupe d’utilisateurs que vous
définissez sous l’onglet Paramètres de groupe de la page Portail libre-service. Ces
paramètres vous permettent de définir des séries de tâches, les membres du groupe Sophos
Mobile et la disponibilité des plates-formes d’appareil pour chaque groupe d’utilisateurs.
8. Cliquez sur Appliquer.
9. Dans l’onglet Configuration de l’utilisateur, cliquez sur Enregistrer.
Information associée
Article 128081 de la base de connaissances
Article 132870 de la base de connaissances
Step by Step Guide to Setup LDAPS on Windows Server (document Microsoft)
13.3 Authentification fédérée
L’authentification fédérée avec Azure Active Directory (Azure AD) est un mode de gestion des
utilisateurs alternatif aux modes de gestion des utilisateurs internes et externes (LDAP).
Lorsque les utilisateurs se connectent au Sophos Mobile Self Service Portal, il y a une différence
fondamentale entre la gestion des utilisateurs externes et l’authentification fédérée :
106
•
Avec la gestion des utilisateurs externes, les utilisateurs s’authentifient dans Sophos Mobile avec
leurs codes d’accès LDAP.
•
Avec l’authentification fédérée, les utilisateurs s’authentifient directement dans Azure AD.
Copyright © Sophos Limited
Sophos Mobile
Les avantages sont les suivants :
•
Azure AD est compatible avec les fonctions de connexion comme l’authentification multifacteur,
l’authentification par carte à puce ou l’authentification par certificat.
•
Connexion unique inter-plates-formes : Les utilisateurs se connectent une seule fois pour accéder
au Sophos Mobile Self Service Portal et à d’autres applications et ressources configurées pour
l’authentification Azure AD.
•
Vous n’avez pas besoin d’ouvrir les ports 389 (LDAP) ou 636 (LDAPS) pour la communication
entre Sophos Mobile et votre serveur LDAP.
13.3.1 Configuration de l’authentification fédérée
Pour utiliser l’authentification fédérée avec Azure Active Directory (Azure AD), veuillez enregistrer
Sophos Mobile en tant qu’application Microsoft Azure.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Microsoft Azure.
2. Cliquez sur Assistant Inscription de Microsoft Azure.
L’assistant vous guide tout au long de la procédure d’enregistrement dans le portail Microsoft
Azure et dans Sophos Mobile Admin :
a) Créez une application pour Sophos Mobile dans le portail Microsoft Azure.
b) Saisissez l’ID de l’application dans Sophos Mobile.
c) Téléchargez le certificat du serveur Sophos Mobile sur votre application.
d) Enregistrez une URL de réponse pour Sophos Mobile. Azure transfère les utilisateurs sur cette
page Sophos Mobile après qu’ils se soient authentifiés avec Azure AD.
e) Accordez les autorisations requises à votre application.
3. Sur la page Configuration de Sophos, cliquez sur l’onglet Configuration de l’utilisateur.
4. Sélectionnez Authentification fédérée Azure AD comme mode de gestion des utilisateurs.
En cas d’indisponibilité de l’authentification fédérée, passez d’abord sur Aucun. PLS, stratégie
d’utilisateur ou administrateur LDAP indisponible..
Remarque
Vous pouvez également utiliser l’application pour Sophos Mobile que vous avez créée dans
le portail Azure pour la protection d’app Intune. Veuillez noter que la protection d’app Intune
présente d’autres conditions de mise sous licence. Retrouvez plus de renseignements à la section
Protection d’app Intune (page 401).
13.3.2 Création d’un client par défaut pour le Portail libre-service
En tant que super administrateur, vous pouvez créer un client par défaut qui est automatiquement
sélectionnée lorsque les utilisateurs accèdent au Portail libre-service.
Dans Sophos Mobile, vous pouvez créer plusieurs clients pour administrer différentes zones de
votre organisation individuellement. Lorsque les utilisateurs accèdent au Sophos Mobile Self Service
Portal, ils doivent sélectionner leur client avant de saisir leurs codes d’accès.
Vous pouvez simplifier l’expérience de connexion en définissant un client par défaut. Même si
cette opération est possible pour tous les modes de gestion des utilisateurs, elle l’est surtout pour
Copyright © Sophos Limited
107
Sophos Mobile
l’authentification fédérée : Les utilisateurs ne voient pas une page de connexion s’ils se sont déjà
authentifiés à Azure Active Directory (Azure AD).
Pour créer un client par défaut pour le Portail libre-service :
1. Connectez-vous à Sophos Mobile Admin avec un compte de super administrateur.
2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Portails Web.
3. Sous Portail libre-service, sélectionnez Client par défaut puis sélectionnez un client dans la liste.
4. Facultatif : Désactivez Visible et modifiable pour ignorer la page de connexion si l’utilisateur s’est
déjà authentifié à Azure AD.
Remarque
Si vous désactivez cette option, seuls les utilisateurs du client par défaut peut accéder au
Sophos Mobile Self Service Portal.
5. Cliquez sur Enregistrer.
13.4 Configuration de la connexion LDAP
Si vous avez installé l’authentification fédérée, vous pouvez configurer une connexion LDAP entre
Sophos Mobile et Azure Active Directory (Azure AD). Vous devez faire ceci si vous voulez utiliser le
Programme d’inscription d’appareils (DEP) d’Apple, le zero-touch de Google ou Samsung KME.
Les appareils suivants s’inscrivent automatiquement à Sophos Mobile lorsque les utilisateurs les
installent :
•
iPhones, iPads et Macs enregistrés au programme d’inscription d’appareils (DEP) d’Apple (DEP)
•
Appareils Android enregistrés pour l’inscription Zero-touch de Google
•
Appareils Samsung Android enregistrés pour l’inscription Knox Mobile (KME)
Pendant l’opération d’inscription, Sophos Mobile se connecte à Azure AD pour s’authentifier à
l’utilisateur.
Pour configurer une connexion LDAP :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Connexion LDAP.
2. Cliquez sur Configurer le LDAP externe.
3. Sur la page Détails du serveur, configurez les paramètres suivants :
a) Dans le champ URL principale, saisissez l’adresse IP ou le nom du serveur d’annuaire
principal.
Le serveur doit être compatible avec LDAPS (LDAP sur SSL).
b) Facultatif : Dans le champ URL secondaire, saisissez l’adresse IP ou le nom d’un serveur
d’annuaire que Sophos Mobile utilisera si le serveur principal ne peut pas être joint.
c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès que Sophos Mobile
va utiliser pour s’authentifier au serveur LDAP.
Veuillez utiliser l’un des formats suivants :
108
•
<domaine>\<nom d’utilisateur>
•
<nom d’utilisateur>@<domaine>.<code du domaine>
Copyright © Sophos Limited
Sophos Mobile
Remarque
Pour des raisons de sécurité, nous vous conseillons de sélectionner un compte sans
aucune autorisations en écriture sur l’annuaire.
4. Sur la page Base de recherche, saisissez le nom unique (distinguished name) ou DN de l’objet de
la base de recherche.
L’objet de la base de recherche définit l’emplacement de l’annuaire à partir duquel la recherche
LDAP commence.
5. Cliquez sur Appliquer.
13.5 Création d’utilisateurs
1.
2.
3.
4.
5.
Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs/groupes.
Cliquez sur Créer un utilisateur.
Sur la page Modification de l’utilisateur, sélectionnez la case Envoyer l’email d’inscription.
Saisissez les détails du compte.
Cliquez sur Enregistrer.
Un email d’enregistrement est envoyé au nouvel utilisateur.
Lorsque vous cliquez sur le triangle bleu correspondant à l’utilisateur choisi, vous pouvez voir les
informations lui correspondant (Afficher), Modifier ou Supprimer cet utilisateur.
Remarque
Lorsque vous cliquez sur un nom d’utilisateur, la page Modification de l’utilisateur apparaît.
Cette page contient le bouton Renvoyer l’email d’inscription que vous pouvez utiliser pour
renvoyer l’email si l’utilisateur ne l’a pas reçu ou ne retrouve pas le premier email envoyé.
13.6 Importation des utilisateurs
Vous pouvez ajouter des utilisateurs en les important dans un fichier CSV.
Vous pouvez importer jusqu’à 500 utilisateurs.
Si vous indiquez un groupe qui n’existe pas, Sophos Mobile le crée.
Le fichier CSV doit avoir la spécification suivante :
•
La première rangée est traitée en tant qu’en-tête et n’est pas importée.
•
Les valeurs doivent être séparées par un point-virgule et pas par une virgule.
•
Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez
pas les valeurs en option.
•
L’extension de fichier doit être .csv.
•
Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en
UTF-8.
Copyright © Sophos Limited
109
Sophos Mobile
Conseil
Sur la page Importer les utilisateurs, cliquez sur Exemple de CSV pour télécharger un
échantillon de fichier.
Pour importer les utilisateurs à partir d’un fichier CSV :
1.
2.
3.
4.
Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs/groupes.
Cliquez sur Importer les utilisateurs.
Sur la page Importer les utilisateurs, cliquez sur Envoyer les emails d’inscription.
Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé.
Les entrées sont lues à partir du fichier et sont affichées sur la page.
5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce
cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu
du fichier CSV et le télécharger de nouveau.
6. Cliquez sur Terminer pour créer les comptes d’utilisateur.
Les utilisateurs sont importés et apparaissent sur la page Utilisateurs/groupes. Ils reçoivent un email
contenant leurs codes d’accès de connexion au Portail libre-service.
13.7 Création de groupes d’utilisateurs
Les groupes d’utilisateurs vous permettent de contrôler l’accès à Sophos Mobile Self Service Portal et
les options d’inscription disponibles.
Remarque
Si vous administrez vos comptes d’utilisateur dans un annuaire LDAP externe, créez-y vos
groupes d’utilisateurs.
Si vous utilisez l’authentification fédérée, créez vos groupes d’utilisateurs dans Azure Active
Directory.
Pour créer un groupe d’utilisateurs :
1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs/groupes.
2. Cliquez sur Afficher les groupes d’utilisateur.
3. Sur la page Afficher les groupes d’utilisateur, cliquez sur Créer un groupe.
4. Nommez le groupe.
5. Cliquez sur Enregistrer.
Après avoir créé un groupe d’utilisateurs, vous pouvez y ajouter des utilisateurs.
Lorsque vous assignez le groupe à une configuration Sophos Mobile Self Service Portal, cette
configuration s’applique uniquement aux membres du groupe. Retrouvez plus de renseignements à
la section Configuration du Portail libre-service (page 28).
110
Copyright © Sophos Limited
Sophos Mobile
14 Stratégies
Une stratégie contient les paramètres à appliquer à un appareil ou à un groupe d’appareils.
Il existe deux types de stratégies :
1. Les stratégies qui prennent effet immédiatement lorsque vous les assignez à un appareil. Ces
stratégies sont synchronisées chaque fois que l’appareil se connecte à Sophos Mobile. Lorsque
vous modifiez la stratégie, vous n’avez pas besoin de la mettre à jour sur l’appareil. Pour
supprimer les paramètres appliqués par la stratégie, vous devez soit mettre à jour la stratégie,
soit assigner une stratégie différente.
Il s’agit des stratégies suivantes :
•
Stratégies Android Enterprise
•
Stratégies de conteneur Sophos
•
Stratégies Mobile Threat Defense
•
Stratégies macOS
•
Stratégies Windows
•
Stratégies Windows Mobile
•
Stratégies Chrome Security
2. Les stratégies que Sophos Mobile installe sur l’appareil lorsque vous les assignez. Lorsque vous
modifiez la stratégie, vous devez la mettre à jour sur l’appareil. Pour supprimer les paramètres
appliqués par la stratégie, vous pouvez la désinstaller de l’appareil.
Il s’agit des stratégies suivantes :
•
Stratégies d’appareil Android
•
Stratégies de conteneur Knox
•
Stratégies d’appareil iOS
Concepts connexes
Configuration des stratégies d’appareils Android (page 177)
Une stratégies d’appareils Android vous permet de configurer les paramètres des appareils Android
inscrits à Sophos Mobile en mode de gestion « Administrateur de l’appareil ».
Configuration des stratégies de conteneur Knox (page 200)
Une stratégie de conteneur Knox vous permet de configurer les paramètres du conteneur Knox sur les
appareils Samsung.
Configuration des stratégies d’appareils iOS (page 206)
Une stratégie d’appareils iOS permet de configurer les paramètres des iPhone et iPad.
Configuration des stratégies d’appareils Android Enterprise (page 122)
Une stratégie d’appareil Android Enterprise permet de configurer les paramètres des appareils Android
Enterprise entièrement gérés.
Configuration des stratégies de profil professionnel Android Enterprise (page 139)
Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des
appareils de profil professionnel Android Enterprise.
Configuration des stratégies de conteneur Sophos pour Android (page 157)
Copyright © Sophos Limited
111
Sophos Mobile
Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure
Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur
Sophos.
Configuration des stratégies Mobile Threat Defense pour Android (page 172)
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
Configuration des stratégies de conteneur Sophos pour iOS (page 246)
Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure
Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur
Sophos.
Configuration des stratégies Mobile Threat Defense pour iOS (page 261)
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
Configuration des stratégies d’appareil macOS (page 264)
Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront
à tous les utilisateurs.
Configuration des stratégies d’utilisateur macOS (page 285)
Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui
s’appliqueront à tous les utilisateurs gérés par Sophos Mobile.
Configuration des stratégies Windows Mobile (page 307)
Une stratégie Windows Mobile vous permet de configurer les paramètres des appareils Windows
Mobile.
Configuration des stratégies Windows (page 319)
Une stratégie Windows vous permet de configurer les paramètres des ordinateurs Windows.
Configuration des stratégies Chrome Security (page 333)
Une stratégie Chrome Security vous permet de configurer les paramètres de l’extension Sophos
Chrome Security lorsqu’elle est inscrite à Sophos Mobile.
14.1 Utilisation des stratégies d’appareil
L’assistant Démarrage des stratégies vous permet de créer des stratégies d’appareil de base pour
toutes les plates-formes. Vous pouvez optimiser ces stratégies ultérieurement.
Restriction
Ces instructions ne s’appliquent pas aux appareils Chrome.
Pour créer des stratégies avec l’assistant Démarrage des stratégies :
1. Sur le tableau de bord, cliquez sur Assistant de démarrage des stratégies dans le widget
Tâches de démarrage.
Conseil
Si vous ne voyez pas le widget, cliquez sur Ajouter un widget > Démarrage.
2. Sur la page Plates-formes, sélectionnez les plates-formes d’appareil pour lesquels vous souhaitez
créer une stratégie.
3. Pour Android, vous pouvez sélectionner un mode d’administration.
Ce paramètre affecte les types de stratégie disponibles. Nous vous conseillons d’utiliser le mode
Android Enterprise.
112
Copyright © Sophos Limited
Sophos Mobile
4. Sur la page Stratégies, configurez les paramètres suivants :
a) Saisissez un nom pour la stratégie.
Pour chaque plate-forme, une stratégie portant ce nom est créée.
b) Sélectionnez les zones gérées par la stratégie.
5.
6.
7.
8.
Si vous dessélectionnez une case, la page de l’assistant correspondant est ignorée. Vous
pouvez configurer les zones à ignorer ultérieurement.
Sur la page Mots de passe, configurez les exigences à respecter pour le mot de passe de
l’appareil.
Sur la page Restrictions, configurez les restrictions appliquées aux appareils comme la
désactivation de l’appareil photo ou d’autres fonctions de l’appareil qui pourraient poser un risque à
la sécurité.
Sur la page Wi-Fi, configurez la connexion à votre réseau Wi-Fi professionnel.
Si votre réseau Wi-Fi utilise un type de sécurité différent de WPA/WPA2 PSK, vous pouvez
changer ce paramètre ultérieurement.
Sur la page Email, configurez la connexion à votre serveur de messagerie Microsoft Exchange
professionnel.
Les espaces réservés %_USERNAME_% et %_EMAILADDRESS_% sont remplacées par le nom et
l’adresse électronique de l’utilisateur assigné à l’appareil.
9. Cliquez sur Terminer.
Pour chaque plate-forme sélectionnée, l’assistant crée une stratégie.
Pour voir la stratégie, cliquez sur Stratégies dans le menu latéral et sur la plate-forme de l’appareil.
Pour modifier les zones gérées, cliquez sur le nom de la stratégie puis sur Ajouter une
configuration.
Vous devez installer Android Enterprise pour votre organisation avant de pouvoir inscrire des
appareils. Retrouvez plus de renseignements à la section Installation d’Android Enterprise Généralités (page 377).
14.2 Création d’une stratégie
Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si
vous souhaitez gérer différents types d’appareils.
Les stratégies sont constituées de différentes configurations. L’ajout de différentes configurations à
une stratégie vous permet de définir les zones que Sophos Mobile gère sur un appareil.
Pour créer une stratégie :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme
d’appareil.
2. Sélectionnez Créer puis sélectionnez un type de stratégie.
3. Saisissez un nom et une description.
4. Pour les stratégies d’appareil iOS et macOS, saisissez le nom de votre organisation.
5. Facultatif : Vérifiez les configurations ajoutées automatiquement à la stratégie par Sophos Mobile
et ajustez-les si nécessaire.
Sophos Mobile ajoute automatiquement les configurations suivantes :
•
Pour les stratégies de conteneur Sophos, une configuration Généralités.
•
Pour les stratégies Android Enterprise, une configuration Restrictions.
Copyright © Sophos Limited
113
Sophos Mobile
• Pour les stratégies Mobile Threat Defense, une configuration Réseau.
6. Sélectionnez Ajouter une configuration pour ajouter d’autres configurations à la stratégie.
7. Sur la page des paramètres de la configuration, saisissez les paramètres requis.
8. Facultatif : Sélectionnez un intervalle de renouvellement dans Intervalle de renouvellement
SCEP.
Cette option est disponible si vous avez ajouté une configuration SCEP ou Certificat d’appareil
Duo à la stratégie.
L’appareil demande automatiquement le renouvellement du certificat après l’intervalle de temps
sélectionné. Cet intervalle de temps est calculé à partir du moment où la stratégie est assignée
à l’appareil. Ce même intervalle est utilisé pour toutes les configurations SCEP et Certificat
d’appareil Duo dans la stratégie.
9. Dès que toutes les configurations ont été ajoutées, cliquez sur Enregistrer.
La stratégie est créée. Vous pouvez l’assigner aux appareils.
Tâches connexes
Assignation d’une stratégie (page 119)
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
Application des modifications de stratégie aux appareils (page 120)
Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les
appareils pour que les modifications prennent effet.
14.3 Importation des stratégies à partir d’Apple
Configurator
Vous pouvez importer une stratégie créée dans Apple Configurator ou une stratégie exportée à partir
d’une autre instance de Sophos Mobile.
Condition préalable : Créez un profil dans Apple Configurator, exportez-le (déchiffré et non signé)
et enregistrez-le sur votre ordinateur.
Remarque
Dans Apple Configurator, les stratégies sont appelées profils.
Pour importer la stratégie :
1.
2.
3.
4.
Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies > iOS et iPadOS.
Sélectionnez Créer > Importer la stratégie.
Saisissez un nom et une description.
Sélectionnez Télécharger un fichier puis sélectionnez le fichier exporté à partir d’Apple
Configurator.
5. Sur la page Importer la stratégie, sélectionnez Enregistrer.
La stratégie est importée. Il vous suffit de l’assigner aux appareils de la même manière que vous
assignez les stratégies créées dans Sophos Mobile.
Tâches connexes
Assignation d’une stratégie (page 119)
114
Copyright © Sophos Limited
Sophos Mobile
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
14.4 Importer un profil d’enregistrement (iOS,
iPadOS)
Vous pouvez importer un profil d’enregistrement pour les applis iOS auto-développées pour les
installer sur vos iPhones et vos iPads.
Condition préalable : Générez un profil d’enregistrement sur votre environnement de développement
et enregistrez-le sur votre ordinateur.
Pour importer le profil d’enregistrement :
1.
2.
3.
4.
5.
Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies > iOS et iPadOS.
Sélectionnez Créer > Importer la stratégie.
Saisissez un nom et une description.
Sélectionnez Télécharger un fichier puis le profil d’enregistrement.
Sur la page Importer la stratégie, sélectionnez Enregistrer.
Le profil d’enregistrement est importé. Il vous suffit de l’installer sur les appareils de la même manière
que vous assignez des stratégies.
Tâches connexes
Assignation d’une stratégie (page 119)
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
14.5 À propos des stratégies macOS
Deux types de stratégies sont disponibles pour Macs :
•
Stratégie d’appareil : Lorsque vous assignez une stratégie d’appareil à un Mac, les paramètres
s’appliquent à tous les utilisateurs administrés qui se connectent au Mac.
•
Stratégie d’utilisateur : Lorsque vous assignez une stratégie d’utilisateur à un Mac, les
paramètres s’appliquent à tous les utilisateurs administrés qui se connectent au Mac.
Les utilisateurs administrés sont :
•
L’utilisateur local qui a inscrit le Mac à Sophos Mobile.
•
Tous les utilisateurs du réseau connus par Sophos Mobile, c’est-à-dire, les utilisateurs issus de
l’annuaire LDAP externe que vous avez configuré pour le Portail libre-service.
À propos des stratégies d’appareil et d’utilisateur
•
En plus de la stratégie d’inscription (qui est une stratégie d’appareil), vous pouvez assigner une
stratégie d’appareil et une stratégie d’utilisateur au Mac.
•
En cas de conflit de configurations dans une stratégie d’appareil et une stratégie d’utilisateur
assignées au même Mac, la configuration la plus stricte s’applique.
•
Sur le Mac, les stratégies assignées figurent sous Préférences système > Profils.
•
Lorsque vous mettez à jour une stratégie d’appareil, les modifications sont appliquées à la
prochaine synchronisation de l’appareil.
Copyright © Sophos Limited
115
Sophos Mobile
•
Lorsque vous mettez à jour une stratégie d’utilisateur, les modifications sont appliquées à la
prochaine connexion de l’utilisateur au Mac.
•
Les utilisateurs peuvent supprimer la stratégie d’utilisateur du Mac. Toutefois, celle-ci sera
automatiquement réassignée à la prochaine connexion de l’utilisateur au Mac.
•
Les utilisateurs ne peuvent pas supprimer la stratégie d’appareil.
•
Lorsqu’un utilisateur supprime la stratégie d’inscription, le Mac est désinscrit de Sophos Mobile.
Les droits d’administrateur sont nécessaires à cette opération.
Concepts connexes
Configuration des stratégies d’appareil macOS (page 264)
Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront
à tous les utilisateurs.
Configuration des stratégies d’utilisateur macOS (page 285)
Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui
s’appliqueront à tous les utilisateurs gérés par Sophos Mobile.
14.6 Configuration de la protection antialtération de
Chrome
La protection antialtération vous permet d’assurer l’intégrité de la stratégie Chrome Security.
Des utilisateurs mal intentionnés pourraient modifier la stratégie Chrome Security en utilisant, par
exemple, les outils de développement Chrome. Lorsque Sophos Mobile détecte que la stratégie
a été modifiée sur un appareil, la stratégie d’origine est réappliquée et les actions que vous avez
configurées dans l’une de vos stratégies de conformité sont de nouveau exécutées.
Pour configurer la protection antialtération :
1. Créez ou modifiez une stratégie de conformité pour Chrome OS.
2. Dans la stratégie de conformité, configurez les actions de la règle La Protection antialtération est
désactivée.
Vous pouvez créer une alerte ou transférer une série de tâches en cas de modification de la
stratégie par l’utilisateur.
3. Assignez la stratégie de conformité au groupe d’appareils utilisé pour vos appareils Chrome.
Remarque
La protection antialtération est toujours activée, même si vous ne configurez pas d’actions
supplémentaires dans une stratégie de conformité.
Tâches connexes
Création d’une stratégie de conformité (page 34)
14.7 Règles de complexité des mots de passe
Windows
Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres majuscules
et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être définies par une
116
Copyright © Sophos Limited
Sophos Mobile
stratégie Sophos Mobile. Différentes règles s’appliquent aux comptes locaux et aux comptes
Microsoft
Comptes locaux
•
Le mot de passe ne doit pas contenir le nom du compte de l’utilisateur ou plus de deux caractères
consécutifs du nom complet de l’utilisateur.
•
Le mot de passe doit être composé d’au moins 6 caractères.
•
Le mot de passe doit être composé de caractères appartenant au moins à trois des quatre
catégories suivantes :
— Lettres majuscules A-Z (alphabet romain)
— Lettres minuscules A-Z (alphabet romain)
— Chiffres de 0 à 9
— Caractères spéciaux (!, $, #, %, etc.)
Comptes Microsoft
•
Le mot de passe doit être composé d’au moins 8 caractères.
•
Le mot de passe doit être composé de caractères appartenant au moins à deux des quatre
catégories suivantes :
— Lettres majuscules A-Z (alphabet romain)
— Lettres minuscules A-Z (alphabet romain)
— Chiffres de 0 à 9
— Caractères spéciaux (!, $, #, %, etc.)
14.8 Plug-in Knox Service
Le plug-in Knox Service (KSP) est une application pour les appareils Android Enterprise qui permet
d’assigner des stratégies Knox aux appareils compatibles avec la plate-forme Samsung Knox Platform
for Enterprise (KPE).
Restriction
Le plug-in Knox Service est compatible avec les appareils Android Enterprise entièrement gérés
à partir de la version Android 8.0 (Knox 3.x) et avec les appareils de profil professionnel Android
Enterprise à partir de la version Android 9.0 (Knox 3.2.1).
Retrouvez plus de renseignements sur le plug-in Knox Service et la plate-forme Samsung Knox
Platform for Enterprise dans la documentation Samsung.
Pour utiliser le plug-in Knox Service avec Sophos Mobile, procédez comme suit :
1. Approuvez le plug-in Knox Service dans Google Play d’entreprise pour votre compte Android
Enterprise.
2. Configurez les stratégies du plug-in Knox Service.
Copyright © Sophos Limited
117
Sophos Mobile
3. Installez le plug-in Knox Service sur les appareils ou groupes d’appareils de votre choix, ou laissez
vos utilisateurs l’installer à partir de Google Play d’entreprise.
Tâches connexes
Validation d’une app Google Play d’entreprise (page 388)
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
Configuration des stratégies dans le plug-in Knox Service (page 118)
L’appli du plug-in Knox Service contient les paramètres de stratégie Knox que vous pouvez configurer.
Installer l’app Google Play d’entreprise (page 393)
Information associée
Documentation Samsung sur le plug-in Knox Service
Documentation Samsung sur Knox Platform for Enterprise
14.8.1 Configuration des stratégies dans le plug-in Knox Service
L’appli du plug-in Knox Service contient les paramètres de stratégie Knox que vous pouvez configurer.
Condition préalable : Vous avez approuvé le plug-in Knox Service dans Google Play d’entreprise.
Pour configurer les stratégies Knox dans le plug-in Knox Service :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
2. Sur la page Applis - Android Enterprise, sélectionnez l’appli Plug-in Knox Service.
3. Dans Page et Catégorie d’appli, configurez l’emplacement du plug-in Knox Service dans l’appli
Google Play Store des utilisateurs.
4. Sélectionnez Utiliser la configuration gérée.
5. Sous Configuration gérée, configurez les paramètres nécessaires.
Les paramètres disponibles sont définis dans le plug-in Knox Service et peuvent changer
lorsque Samsung publie de nouvelles versions de l’appli.
Dans Clé de licence KPE Premium, saisissez votre clé de licence Knox. Sinon, les stratégies
ne seront pas appliquées lors de l’installation de l’appli.
6. Cliquez sur Enregistrer.
7. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la
disposition de vos utilisateurs.
Les stratégies Knox sont appliquées dès l’installation du plug-in Knox Service sur un appareil.
Pour supprimer les stratégies Knox, désinstallez l’appli.
Tâches connexes
Validation d’une app Google Play d’entreprise (page 388)
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
14.9 Espaces réservés dans les stratégies
Les paramètres de stratégie vous permettent d’utiliser des espaces réservés qui sont remplacés par
une propriété d’utilisateur, d’appareil ou de client lorsque la stratégie est assignée.
•
118
%_EMAILADDRESS_% est remplacé par la propriété Adresse email de l’utilisateur assigné à
l’appareil.
Copyright © Sophos Limited
Sophos Mobile
•
%_USERNAME_% est remplacé par la propriété Nom d’utilisateur de l’utilisateur assigné à
l’appareil.
•
%_DEVPROP()_% est remplacé par une propriété d’appareil.
Par exemple, l’espace réservé %_DEVPROP(IMEI)_% est remplacé par la valeur IMEI de
l’appareil (si disponible).
Vous pouvez utiliser l’une des propriétés répertoriées dans les onglets Propriétés de l’appareil
et Propriétés personnalisées de la page Affichage de l’appareil de l’appareil.
•
%_CUSTPROP()_% est remplacé par une propriété de client.
Par exemple, si vous avez créé une propriété de client « internal_id », vous pouvez y faire
référence avec %_CUSTPROP(Internal_id)_%.
Vous pouvez utiliser l’une des propriétés répertoriées dans Configuration > Configuration de
Sophos > Propriétés client.
Pour macOS, les propriétés de l’utilisateur sont remplacées comme suit :
•
Pour l’utilisateur Mac local, il s’agit des propriétés de l’utilisateur Sophos Mobile assigné à
l’appareil sont utilisées.
•
Pour les utilisateurs du réseau, il s’agit des propriétés du compte d’utilisateur LDAP qui sont
utilisées.
14.10 Assignation d’une stratégie
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
Pour assigner une stratégie à un appareil ou à un groupe d’appareils :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme
d’appareil.
2. Sélectionnez le triangle bleu correspondant à une stratégie et sélectionnez Assigner.
3. Sur la page Sélectionner les appareils, effectuez l’une des opérations suivantes :
•
Sélectionnez chaque appareil individuellement.
•
Sélectionnez Sélectionner les groupes d’appareils et sélectionnez les groupes d’appareils
concernés :
4. Sur la page Définir la date d’exécution , saisissez la date et l’heure à laquelle la tâche doit être
exécutée.
Cette étape concerne uniquement les stratégies suivantes :
•
Stratégies d’appareil Android
•
Stratégies de conteneur Knox
• Stratégies d’appareil iOS
5. Cliquez sur Terminer.
La stratégie est appliquée aux appareils sélectionnés.
Si vous n’avez pas saisi de date pour l’exécution de la tâche, la stratégie prend effet immédiatement.
Vous pouvez également appliquer une stratégie en utilisant l’une des options suivantes :
•
Pour assigner une stratégie à un seul appareil : Sur la page Affichage de l’appareil de l’appareil,
sélectionnez l’onglet Stratégies et cliquez sur Assigner une stratégie.
Copyright © Sophos Limited
119
Sophos Mobile
•
Pour assigner une stratégie à plusieurs appareils : Sur la page Appareils, sélectionnez les
appareils concernés et sélectionnez Actions > Assigner une stratégie.
•
Pour assigner une stratégie dans le cadre d’une série de tâches : Ajoutez une tâche Assigner une
stratégie à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis.
Tâches connexes
Application des modifications de stratégie aux appareils (page 120)
Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les
appareils pour que les modifications prennent effet.
14.11 Application des modifications de stratégie
aux appareils
Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les
appareils pour que les modifications prennent effet.
Vous devez uniquement appliquer les modifications des appareils aux stratégies suivantes :
•
Stratégies d’appareil Android
•
Stratégies de conteneur Knox
•
Stratégies d’appareil iOS
Les autres stratégies se synchronisent automatiquement chaque fois que l’appareil se connecte à
Sophos Mobile.
Pour appliquer des modifications de stratégie aux appareils :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme
d’appareil.
2. Sélectionnez le triangle bleu correspondant à une stratégie et sélectionnez Mettre à jour les
appareils.
Sophos Mobile crée une tâche pour mettre à jour la stratégie sur tous les appareils auxquels elle est
assignée.
14.12 Désinstallation d’une stratégie de vos
appareils
Vous désinstallez une stratégie d’un appareil afin de supprimer les paramètres appliqués par cette
stratégie.
Seules les stratégies suivantes peuvent être désinstallées d’un appareil :
•
Stratégies d’appareil Android
•
Stratégies de conteneur Knox
•
Stratégies d’appareil iOS
Pour les autres types de stratégies, mettez à jour la stratégie, assignez une stratégie différente ou
désinscrivez l’appareil.
Utilisez l’une des procédures suivantes pour désinstaller une stratégie des appareils :
•
120
Pour désinstaller une stratégie d’un seul appareil :
Copyright © Sophos Limited
Sophos Mobile
a) Sur le menu latéral, sous GESTION, sélectionnez Appareils.
b) Sélectionnez le nom de l’appareil.
c) Sélectionnez l’onglet Stratégies.
d) Sélectionnez Désinstaller.
•
Pour désinstaller une stratégie d’une sélection d’appareils :
a) Créez une série de tâches avec une tâche Désinstaller la stratégie.
b) Transférez la série de tâches vers les appareils ou groupes d’appareils.
•
Pour désinstaller une stratégie de tous les appareils :
a) Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme
d’appareil.
b) Cliquez sur le triangle bleu correspondant à la stratégie que vous souhaitez désinstaller.
c) Sélectionnez Retirer l’assignation.
Concepts connexes
Page Affichage de l’appareil (page 54)
La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur
l’appareil de votre choix.
Tâches connexes
Assignation d’une stratégie (page 119)
Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut.
Application des modifications de stratégie aux appareils (page 120)
Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les
appareils pour que les modifications prennent effet.
Transférer des séries de tâches (page 347)
Vous pouvez transférer des séries de tâches aux appareils ou groupes d’appareils
14.13 Télécharger les stratégies
Vous pouvez télécharger des stratégies. Ceci est particulièrement utile si, par exemple, vous devez
communiquer les paramètres au support de Sophos.
Pour télécharger une stratégie :
1. Sur le menu latéral, allez dans Stratégies et cliquez sur la plate-forme d’un appareil.
2. Cliquez sur le triangle bleu correspondant à une stratégie et cliquez sur Télécharger.
La stratégie est enregistrée sur votre ordinateur.
Copyright © Sophos Limited
121
Sophos Mobile
14.14 Configuration des stratégies d’appareils
Android Enterprise
Une stratégie d’appareil Android Enterprise permet de configurer les paramètres des appareils Android
Enterprise entièrement gérés.
14.14.1 Configuration « Stratégies de mot de passe » (stratégie
d’appareil Android Enterprise)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le
mot de passe de verrouillage de l’écran.
Type de mot de passe
La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les
utilisateurs sont autorisés à configurer :
122
Paramètre
Description
Modèle, code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran. Ils peuvent choisir
un mode de déverrouillage de l’écran de type
Modèle, Code PIN ou Mot de passe. Aucune
autre restriction n’est imposée.
Mot de passe simple
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
L’utilisation de chiffre est autorisée mais le mot
de passe doit contenir au moins une lettre. Vous
pouvez définir la longueur minimale. Retrouvez
plus de renseignements à ce sujet dans le
tableau ci-dessous.
Code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Code PIN ou
Mot de passe. Vous pouvez définir la longueur
minimale. Retrouvez plus de renseignements à
ce sujet dans le tableau ci-dessous.
Mot de passe alphanumérique
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir
la longueur minimale. Retrouvez plus de
renseignements à ce sujet dans le tableau cidessous.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Mot de passe complexe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir la
longueur minimale ainsi que le nombre minimal
de chiffres, de lettres minuscules et majuscules
et de caractères spéciaux à utiliser. Retrouvez
plus de renseignements à ce sujet dans les
deux tableaux ci-dessous.
Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe
alphanumérique ou Mot de passe complexe, les champs suivants apparaissent :
Paramètre
Description
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Délai d’attente avant demande du mot de
passe
Le temps au bout duquel l’appareil est verrouillé
lorsqu’il n’est pas utilisé. L’appareil peut être
déverrouillé en saisissant le mot de passe.
Remarque
Il se peut que l’appareil impose un période
de temps plus courte que celle que vous
avez configurée ici.
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Nombre maximal de tentatives de connexion
L’appareil est réinitialisé après ce nombre de
tentatives de connexion incorrectes.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent :
Paramètre
Description
Nombre minimum de lettres
Le nombre minimum de lettres qu’un mot de
passe doit contenir.
Copyright © Sophos Limited
123
Sophos Mobile
Paramètre
Description
Nombre minimum de lettres minuscules
Le nombre minimum de lettres minuscules
qu’un mot de passe doit contenir.
Nombre minimum de lettres majuscules
Le nombre minimum de lettres majuscules
qu’un mot de passe doit contenir.
Nombre minimum de caractères non
alphabétiques
Le nombre minimum de caractères non
alphabétiques (par exemple & ou !) qu’un mot
de passe doit contenir.
Nombre minimum de chiffres
Le nombre minimum de chiffres qu’un mot de
passe doit contenir.
Nombre minimum de caractères spéciaux
Le nombre minimum de caractères spéciaux
(par exemple !"§$%&/()=,.-;:_@<>) qu’un mot
de passe doit contenir.
14.14.2 Configuration des restrictions (stratégie d’appareil
Android Enterprise)
La configuration Restrictions vous permet de définir les restrictions pour les appareils Android
Enterprise entièrement gérés.
Sécurité
124
Paramètre
Description
Forcer le chiffrement
L’utilisateur doit chiffrer ses appareils.
Autoriser le rétablissement des paramètres
d’usine
Les utilisateurs peuvent restaurer les
paramètres d’usine sur l’appareil.
Autoriser le mode sécurisé
Les utilisateurs peuvent démarrer l’appareil en
mode sans échec.
Autoriser le débogage
L’utilisateur peut activer les fonctions de
débogage sous les Options de développement
de l’appareil Android.
Autoriser la capture d’écran
Les utilisateurs peuvent prendre des captures
d’écran.
Autoriser l’utilisateur à configurer les codes
d’accès
Les utilisateurs peuvent installer ou supprimer
des certificats.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser Smart Lock
L’utilisateur peut activer la fonction Smart Lock
d’Android qui déverrouille automatiquement
l’appareil dans certaines situations.
Remarque
ce paramètre affecte le verrouillage de l’appareil.
Il est ignoré si le verrouillage d’un profil
professionnel est également configuré.
Autoriser le partage d’emplacement
Les utilisateurs peuvent activer le partage
d’emplacement.
Autoriser le déverrouillage de l’appareil par
empreinte digitale
L’utilisateur peut utiliser le capteur d’empreinte
digitale pour déverrouiller l’appareil.
Autoriser la modification de la photo du
compte
Les utilisateurs peuvent changer la photo
utilisée pour leur compte d’utilisateur.
Masquer les informations sensibles sur
l’écran de verrouillage
Si les notifications de l’écran de verrouillage
sont activées, le contenu sensible de ladite
notification est masqué.
Stratégie de mise à jour du système
Sélectionnez le moment d’installation des mises
à jour du système :
•
Aucune stratégie : l’utilisateur décide quand les
mises à jour du système peuvent être installées.
•
Installation automatique : les mises à jour du
système sont installées automatiquement dès
qu’elles sont disponibles.
•
Installer pendant la période de maintenance :
les mises à jour du système sont installées
automatiquement pendant une période de
maintenance quotidienne. Saisissez l’heure de
début et de fin de la journée.
•
Retarder : les mises à jour du système (hormis les
mises à jour de sécurité) sont bloquées pendant
30 jours.
Comptes
Paramètre
Description
Autoriser la gestion des comptes
L’utilisateur peut ajouter ou supprimer des
comptes non Google (par exemple, un compte
d’appli) de l’appareil .
Autoriser la gestion des comptes Google
L’utilisateur peut ajouter ou supprimer des
comptes Google de l’appareil.
Copyright © Sophos Limited
125
Sophos Mobile
Réseau et communication
Paramètre
Description
Autoriser les SMS
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas envoyer de SMS.
Autoriser la connexion aux données mobiles
pendant l’itinérance
Si cette case n’est pas sélectionnée, les
connexions aux données mobiles pendant
l’itinérance sont désactivées.
Autoriser les réseaux privés virtuels (VPN)
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas utiliser de
connexions VPN.
Autoriser Android Beam
Les utilisateurs peuvent envoyer des données à
partir des apps via Android Beam (transfert de
données par NFC).
Autoriser Bluetooth
Si cette case n’est pas sélectionnée, la
connexion Bluetooth est désactivée.
Autoriser les appels téléphoniques sortants
Les utilisateurs peuvent passer des appels
téléphoniques.
Autoriser la réinitialisation du réseau
Les utilisateurs peuvent restaurer les
paramètres par défaut du réseau.
Activer les paramètres Wi-Fi
Les utilisateurs peuvent changer les paramètres
Wi-Fi.
Autoriser la configuration des diffusions
cellulaires
Les utilisateurs peuvent activer ou désactiver
les messages de diffusions cellulaires sur leur
app de messagerie.
Activer les paramètres de réseau cellulaire
Les utilisateurs peuvent changer les paramètres
du réseau cellulaire.
Activer les paramètres de connexion
Les utilisateurs peuvent changer les paramètres
de connexion et de points d’accès portables.
Matériel
126
Paramètre
Description
Autoriser l’appareil photo
Si cette case n’est pas sélectionnée, l’appareil
photo n’est plus disponible.
Autoriser le microphone
Si cette case n’est pas sélectionnée, le
microphone n’est plus disponible.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser les supports externes
Les utilisateurs peuvent connecter des supports
multimédia externes (périphériques de stockage
USB) à l’appareil.
Activer le stockage USB
Les utilisateurs peuvent connecter l’appareil
en mode de stockage de masse sur USB (USB
MSC) à un ordinateur hôte (par exemple ; un
lecteur de disque dur externe).
Si vous ne sélectionnez pas la case, les
utilisateurs peuvent toujours se connecter à
l’appareil sous le mode de transfert multimédia
(USB MTP) ou de transfert de photos (USB
PTP) pour transférer des fichiers.
Autoriser le transfert de fichiers par USB
Les utilisateurs peuvent transférer des fichiers
entre l’appareil et le stockage USB externe.
Applications
Paramètre
Description
Autoriser la désinstallation d’applis
Les utilisateurs peuvent désinstaller les apps.
Autoriser l’installation d’applis de sources
inconnues
Si cette case n’est pas sélectionnée, les
utilisateurs peuvent uniquement installer les
apps à partir de Google Play et pas à partir de
sources inconnues ou par le pont Android (ADB
ou Android Debug Bridge).
Activer les applis système
Si la case à cocher est dessélectionnée, seules
ces apps sont activées : Boutique Google
Play, Contacts, Messages, Téléphone. Google
recommande ceci pour les appareils Android
Enterprise entièrement gérés.
Si vous sélectionnez cette case, toutes les apps
préinstallées par le fabricant sont activées.
Autoriser le changement de fond d’écran
Copyright © Sophos Limited
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas changer le fond
d’écran.
127
Sophos Mobile
Paramètre
Description
Autoriser la gestion des applis
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas effectuer les tâches
suivantes pour les apps :
Autoriser la désactivation des contrôles de
sécurité Google
•
Désinstaller les apps
•
Désactiver les apps
•
Arrêter les apps
•
Effacer le cache des apps
•
Effacer les données des apps
•
Effacer le paramètre Ouvrir par défaut
L’utilisateur peut désactiver le paramètre de
sécurité de Google Analyser appareil pour
détecter menaces de sécurité.
Le paramètres est disponible dans les
Paramètres sous Google > Sécurité > Google
Play Protect.
Autoriser le réglage de la date et de l’heure
Les utilisateurs peuvent changer la date et
l’heure.
Si cette case n’est pas sélectionnée, la date et
l’heure du réseau sont utilisées.
Message court
Un message de support de l’entreprise
que l’utilisateur voit s’afficher lorsqu’une
fonctionnalité a été désactivée.
Remarque
Si vous saisissez plus de 200 caractères,
le message risque de ne pas s’afficher
complètement.
Message long
Texte supplémentaire au message court. Ce
texte s’affiche lorsque l’utilisateur appuie sur
Plus de renseignements sur les vues affichant
le message court.
Remarque
Ce texte est également affiché sur la vue
Administrateur de l’appareil d’Android de
l’app Sophos Mobile Control.
128
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Services d’accessibilité autorisés
Limiter la liste des apps pouvant fournir des
services d’accessibilité :
•
Si vous sélectionnez Toutes les applis
disponibles, les utilisateurs peuvent utiliser tous
les services d’accessibilité.
•
Si vous sélectionnez Applis système
uniquement, les utilisateurs peuvent uniquement
utiliser les services d’accessibilité des applis du
système.
•
Si vous sélectionnez un groupe d’apps, les
utilisateurs peuvent uniquement utiliser les
services d’accessibilité des apps de ce groupe et
des apps du système.
14.14.3 Configuration du compte Exchange (stratégie d’appareil
Android Enterprise)
La configuration Compte Exchange permet d’ajouter un compte Exchange à Gmail.
Attention
Une configuration gérée de l’appli Gmail entre en conflit avec la configuration Compte Exchange,
elle n’est donc pas disponible à partir de Sophos Mobile 9.6. Si vous utilisez une configuration
gérée à partir d’une version antérieure, Gmail ignore la configuration Compte Exchange. Cela se
produit même si la configuration gérée est vide.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Utilisateur
Le nom d’utilisateur de ce compte.
Exemples :
Adresse email
•
jeanlint
•
domaine\jeanlint
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Copyright © Sophos Limited
129
Sophos Mobile
Paramètre
Description
Expéditeur
Un nom d’expéditeur pour ce compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Signature par défaut de l’email.
La signature par défaut de l’e-mail.
Authentification
Le type d’authentification utilisé par Gmail lors
de la connexion à Exchange.
Période de synchronisation
•
Authentification moderne : Utilisez
l’authentification moderne (OAuth 2.0).
•
Authentification de base : Utilisez
l’authentification de base (nom d’utilisateur
et mot de passe).
•
Authentification de base et moderne :
Utilisez l’authentification moderne ou de
base, en fonction de la prise en charge
d’Exchange.
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Autoriser tous les certificats
Autoriser tous les certificats lors des processus
de transferts à partir du serveur de messagerie.
Certificat du client
Le certificat du client pour la connexion au
serveur Exchange.
Autoriser les comptes non gérés
Autoriser les utilisateurs à ajouter ou à
supprimer un compte Exchange, à l’exception
du compte spécifié dans cette configuration.
Si vous activez ce paramètre, vous ne pouvez
pas empêcher le partage de données entre
d’autres applis et les comptes Exchange ajoutés
par les utilisateurs.
Concepts connexes
Configuration gérée (page 395)
130
Copyright © Sophos Limited
Sophos Mobile
14.14.4 Configuration Wi-Fi (stratégie d’appareil Android
Enterprise)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
L’identifiant du réseau Wi-Fi.
Type de sécurité
Le type de sécurité de la connexion Wi-Fi :
Autorisation de la phase 2
•
Aucun
•
WEP
•
WPA/WPA2 PSK
•
EAP/PEAP
•
EAP/TLS
•
EAP/TTLS
La méthode d’authentification pour la phase 2
de la négociation EAP :
•
Aucun
•
PAP
•
CHAP
•
MSCHAP
•
MSCHAPv2
Ce champ est disponible pour les connexions
EAP/PEAP et EAP/TTLS.
Identité
L’identité de l’utilisateur.
Ce champ est disponible pour les connexions
EAP.
Identité anonyme
L’identité du pseudonyme envoyée non chiffrée
au cours de la phase 1 de la négociation EAP.
Ce champ est disponible pour les connexions
EAP.
Mot de passe
Copyright © Sophos Limited
Le mot de passe du réseau Wi-Fi.
131
Sophos Mobile
Paramètre
Description
Certificat d’identité
Le certificat d’identité pour la connexion au
réseau Wi-Fi.
La liste contient tous les certificats présents
dans la configuration Certificat du client de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
Certificat approuvé
L’autorité de certification racine pour le certificat
du serveur EAP.
La liste contient tous les certificats présents
dans la configuration Certificat racine de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
14.14.5 Google Play (stratégie d’appareil Android Enterprise)
La configuration Google Play vous permet de gérer l’appli Google Play Store sur les appareils Android
Enterprise entièrement gérés.
Paramètre
Description
Applis disponibles
Applications auxquelles les utilisateurs peuvent
accéder dans Play Store.
Mettre à jour automatiquement les applis
132
•
Applis approuvées dans Google Play
d’entreprise. : Les utilisateurs peuvent
uniquement accéder aux applis que vous avez
approuvées pour votre organisation dans Google
Play d’entreprise.
•
Applis de Google Play : Les utilisateurs peuvent
accéder à toutes les applis depuis Google
Play, c’est-à-dire aux mêmes applis que celles
disponibles pour les appareils non gérés.
Options de mise à jour automatique des applis.
•
Sur n’importe quel réseau : Les applis sont
mises à jour automatiquement par le biais d’une
connexion WiFi ou de données mobiles.
•
Uniquement par Wi-Fi : Les applis sont mises à
jour automatiquement uniquement lorsqu’elles sont
connectées au Wi-Fi.
•
Ne pas mettre à jour automatiquement les
applis : Les applis ne se mettent pas à jour
automatiquement.
•
Utiliser le paramètre de l’appareil : Les
utilisateurs peuvent configurer des mises à jour
automatiques dans leur appli Play Store.
Copyright © Sophos Limited
Sophos Mobile
14.14.6 Configuration de la Protection des applis (stratégie
d’appareil Android Enterprise)
La configuration Protection des applis vous permet de définir le format de mot de passe à utiliser
pour protéger les applis de la boutique Google Play gérée.
Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils
démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai
de connexion est imposé.
Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de
passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de
l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des
applis dans le Sophos Mobile Self Service Portal.
Paramètre
Description
Complexité du mot de passe
Le niveau de complexité minimale requis
pour le mot de passe qui sera créé par les
utilisateurs.
Délai de grâce en minutes
À la fin du délai de grâce, les apps protégées
peuvent uniquement être déverrouillées par mot
de passe.
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps protégées par mot de passe.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
Autoriser l’authentification par empreinte
digitale
L’utilisateur peut utiliser son empreinte digitale
pour déverrouiller une app protégée.
14.14.7 Configuration du contrôle des applis (stratégie
d’appareil Android Enterprise)
La configuration du Contrôle des apps vous permet de définir les apps dont l’utilisation n’est pas
autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les apps préinstallées par le
fabricant de l’appareil et qui ne peuvent pas être désinstallées.
Paramètre
Description
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps bloquées.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
Copyright © Sophos Limited
133
Sophos Mobile
14.14.8 Configuration des autorisations des applis (stratégie
d’appareil Android Enterprise)
La configuration Autorisations des apps vous permet de configurer la réponse à donner lorsqu’une
app demande une autorisation pendant son exécution.
Paramètre
Description
Réponse par défaut pour les demandes
d’autorisation runtime
La réponse par défaut aux demandes
d’autorisation pendant l’exécution :
•
Inviter : Les utilisateurs sont invités à accorder une
autorisation.
•
Accepter automatiquement : toutes les
demandes d’autorisation pendant l’exécution sont
automatiquement accordées.
•
Refuser automatiquement : toutes les
demandes d’autorisation pendant l’exécution sont
automatiquement refusées.
Les utilisateurs ne peuvent pas modifier
les autorisations ultérieurement si vous
sélectionnez Accepter automatiquement ou
Refuser automatiquement.
Autorisations d’exécution des applis
Accorder ou refuser des autorisations
d’exécution pour des applis spécifiques.
Cliquez sur Ajouter pour sélectionner une appli,
puis sélectionnez l’une des options suivantes
pour chaque autorisation :
134
•
Sélectionnable : Les utilisateurs peuvent modifier
l’autorisation.
•
Accordée : L’autorisation est accordée.
•
Refusée : L’autorisation est refusée.
Copyright © Sophos Limited
Sophos Mobile
14.14.9 Configuration du mode kiosque (stratégie d’appareil
Android Enterprise)
La configuration Mode kiosque permet d’activer la gestion des appareils Android Enterprise.
Paramètre
Description
Sélectionner la source
•
Aucun : autoriser toutes les applis . Les
restrictions du mode kiosque sont appliquées à
l’appareil. Toutefois, l’utilisateur peut démarrer
toutes les applis disponibles sur l’appareil.
•
Personnalisée, Liste des applis : verrouiller une
seule appli sur l’écran.
•
Groupe d’applis : autoriser l’affichage de
plusieurs applis sur l’écran.
Identifiant de l’appli
L’appli disponible sous le mode kiosque.
Selon votre sélection dans Sélectionner la
source, veuillez soit identifier l’appli par son
numéro d’identifiant, soit la sélectionner dans la
liste des applis disponibles.
Groupe d’applis
Les applis disponibles sous le mode kiosque.
Sélectionnez l’un des groupes d’applis
configurés.
Autoriser la modification du volume
Si la case n’est pas sélectionnée, les boutons
de volume de l’appareil sont désactivés.
Désactiver le verrouillage de l’écran
L’écran de l’appareil n’est jamais verrouillé.
Rester allumé pendant la recharge
L’écran de l’appareil reste activé lorsque
l’appareil est branché sur le secteur.
14.14.10 Configuration du proxy HTTP global (stratégie
d’appareil Android Enterprise)
La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel.
Paramètre
Description
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
Serveur
Copyright © Sophos Limited
Le nom (ou l’adresse IP) du proxy HTTP.
135
Sophos Mobile
Paramètre
Description
Port
Le numéro de port du proxy HTTP.
URL PAC
L’URL du fichier de configuration automatique
de proxy (PAC).
14.14.11 Configuration VPN (stratégie d’appareil Android
Enterprise)
La configuration VPN vous permet de sélectionner un client VPN pour les appareils Android Enterprise.
Paramètre
Description
Client VPN
L’identifiant de l’appli VPN.
Le client VPN doit être une appli Google Play
d’entreprise qui est déjà installée sur l’appareil.
Vous configurez la connexion VPN dans la
configuration gérée de l’app. Retrouvez plus
de renseignements dans la documentation de
l’app.
14.14.12 Configuration du certificat racine (stratégie d’appareil
Android Enterprise)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
136
Copyright © Sophos Limited
Sophos Mobile
14.14.13 Configuration du certificat du client (stratégie
d’appareil Android Enterprise)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.14.14 Configuration SCEP (stratégie d’appareil Android
Enterprise)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Remarque
Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de
l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP.
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom d’alias
Le nom sous lequel le certificat va apparaître
dans les boîtes de dialogue de sélection.
Il doit s’agir d’un nom facile à mémoriser pour
identifier le certificat. Par exemple, utilisez la
même valeur que dans le champ Objet mais
sans le préfixe CN=.
Copyright © Sophos Limited
137
Sophos Mobile
Paramètre
Description
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Type de l’autre nom de l’objet
Valeur de l’autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
138
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.15 Configuration des stratégies de profil
professionnel Android Enterprise
Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des
appareils de profil professionnel Android Enterprise.
14.15.1 Configuration « Stratégies de mot de passe Appareil » (stratégie de profil professionnel Android Enterprise)
La configuration Stratégies de mot de passe - Appareil vous permet de définir les exigences à
respecter pour le mot de passe de verrouillage de l’écran.
Type de mot de passe
La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les
utilisateurs sont autorisés à configurer :
Paramètre
Description
Modèle, code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran. Ils peuvent choisir
un mode de déverrouillage de l’écran de type
Modèle, Code PIN ou Mot de passe. Aucune
autre restriction n’est imposée.
Mot de passe simple
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
L’utilisation de chiffre est autorisée mais le mot
de passe doit contenir au moins une lettre. Vous
pouvez définir la longueur minimale. Retrouvez
plus de renseignements à ce sujet dans le
tableau ci-dessous.
Copyright © Sophos Limited
139
Sophos Mobile
Paramètre
Description
Code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Code PIN ou
Mot de passe. Vous pouvez définir la longueur
minimale. Retrouvez plus de renseignements à
ce sujet dans le tableau ci-dessous.
Mot de passe alphanumérique
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir
la longueur minimale. Retrouvez plus de
renseignements à ce sujet dans le tableau cidessous.
Mot de passe complexe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir la
longueur minimale ainsi que le nombre minimal
de chiffres, de lettres minuscules et majuscules
et de caractères spéciaux à utiliser. Retrouvez
plus de renseignements à ce sujet dans les
deux tableaux ci-dessous.
Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe
alphanumérique ou Mot de passe complexe, les champs suivants apparaissent :
Paramètre
Description
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Délai d’attente avant demande du mot de
passe
Le temps au bout duquel l’appareil est verrouillé
lorsqu’il n’est pas utilisé. L’appareil peut être
déverrouillé en saisissant le mot de passe.
Remarque
Il se peut que l’appareil impose un période
de temps plus courte que celle que vous
avez configurée ici.
140
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Nombre maximal de tentatives de connexion
L’appareil est réinitialisé après ce nombre de
tentatives de connexion incorrectes.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent :
Paramètre
Description
Nombre minimum de lettres
Le nombre minimum de lettres qu’un mot de
passe doit contenir.
Nombre minimum de lettres minuscules
Le nombre minimum de lettres minuscules
qu’un mot de passe doit contenir.
Nombre minimum de lettres majuscules
Le nombre minimum de lettres majuscules
qu’un mot de passe doit contenir.
Nombre minimum de caractères non
alphabétiques
Le nombre minimum de caractères non
alphabétiques (par exemple & ou !) qu’un mot
de passe doit contenir.
Nombre minimum de chiffres
Le nombre minimum de chiffres qu’un mot de
passe doit contenir.
Nombre minimum de caractères spéciaux
Le nombre minimum de caractères spéciaux
(par exemple !"§$%&/()=,.-;:_@<>) qu’un mot
de passe doit contenir.
14.15.2 Configuration « Stratégies de mot de passe - Profil
professionnel » (stratégie de profil professionnel Android
Enterprise)
La configuration Stratégies de mot de passe - Profil professionnel vous permet de définir les
exigences à respecter pour le mot de passe du profil professionnel. L’utilisateur doit saisir ce mot de
passe pour ouvrir une app lorsque le profil professionnel est verrouillé.
Remarque
Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des
autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile
Admin.
Copyright © Sophos Limited
141
Sophos Mobile
Type de mot de passe
La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les
utilisateurs sont autorisés à configurer :
142
Paramètre
Description
Modèle, code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran. Ils peuvent choisir
un mode de déverrouillage de l’écran de type
Modèle, Code PIN ou Mot de passe. Aucune
autre restriction n’est imposée.
Mot de passe simple
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
L’utilisation de chiffre est autorisée mais le mot
de passe doit contenir au moins une lettre. Vous
pouvez définir la longueur minimale. Retrouvez
plus de renseignements à ce sujet dans le
tableau ci-dessous.
Code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Code PIN ou
Mot de passe. Vous pouvez définir la longueur
minimale. Retrouvez plus de renseignements à
ce sujet dans le tableau ci-dessous.
Mot de passe alphanumérique
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir
la longueur minimale. Retrouvez plus de
renseignements à ce sujet dans le tableau cidessous.
Mot de passe complexe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir la
longueur minimale ainsi que le nombre minimal
de chiffres, de lettres minuscules et majuscules
et de caractères spéciaux à utiliser. Retrouvez
plus de renseignements à ce sujet dans les
deux tableaux ci-dessous.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Reconnaissance biométrique faible
Les utilisateurs sont autorisés à utiliser les
méthodes de reconnaissance biométrique peu
sécurisées, telle que la reconnaissance de
visage, pour déverrouiller le profil professionnel.
Remarque
Les méthodes de reconnaissance
biométrique peu sécurisées fournissent
le même niveau de sécurité que les
codes confidentiels (PIN) à 3 chiffres.
Un déverrouillage non autorisé sur
1000 tentatives pourrait donc avoir lieu.
Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe
alphanumérique ou Mot de passe complexe, les champs suivants apparaissent :
Paramètre
Description
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Délai d’attente avant demande du mot de
passe
Le temps au bout duquel le profil professionnel
est verrouillé lorsqu’il n’est pas utilisé. Le profil
peut être déverrouillé en saisissant le mot de
passe.
Remarque
Il se peut que l’appareil impose un période de
temps plus courte que celle que vous avez
configurée ici.
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Nombre maximal de tentatives de connexion
Le profil professionnel est supprimé après ce
nombre de tentatives de connexion incorrectes.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent :
Copyright © Sophos Limited
143
Sophos Mobile
Paramètre
Description
Nombre minimum de lettres
Le nombre minimum de lettres qu’un mot de
passe doit contenir.
Nombre minimum de lettres minuscules
Le nombre minimum de lettres minuscules
qu’un mot de passe doit contenir.
Nombre minimum de lettres majuscules
Le nombre minimum de lettres majuscules
qu’un mot de passe doit contenir.
Nombre minimum de caractères non
alphabétiques
Le nombre minimum de caractères non
alphabétiques (par exemple & ou !) qu’un mot
de passe doit contenir.
Nombre minimum de chiffres
Le nombre minimum de chiffres qu’un mot de
passe doit contenir.
Nombre minimum de caractères spéciaux
Le nombre minimum de caractères spéciaux
(par exemple !"§$%&/()=,.-;:_@<>) qu’un mot
de passe doit contenir.
14.15.3 Configuration des restrictions (stratégie de profil
professionnel Android Enterprise)
La configuration Restrictions vous permet de définir des restrictions pour les appareils de profil
professionnel Android Enterprise.
Sécurité
Paramètre
Description
Autoriser la capture d’écran
Les utilisateurs peuvent faire des captures
d’écran du contenu des apps installées sur le
profil professionnel.
Autoriser l’utilisateur à configurer les codes
d’accès
Les utilisateur peuvent installer ou supprimer
des certificats dans le profil professionnel.
Autoriser l’utilisation du presse-papiers
dans les applis personnelles
Les utilisateurs peuvent copier le texte à partir
d’une app du profil professionnel et le coller
dans une app personnelle.
La copie du texte du presse-papiers à partir
d’une app personnelle dans une app du profil
professionnel est toujours possible.
144
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser Smart Lock
L’utilisateur peut activer la fonction Smart Lock
d’Android qui déverrouille automatiquement
l’appareil dans certaines situations.
Remarque
ce paramètre affecte le verrouillage de l’appareil.
Il est ignoré si le verrouillage d’un profil
professionnel est également configuré.
Autoriser le partage d’emplacement
Les apps du profil professionnel peuvent
accéder aux fonctions de géolocalisation de
l’appareil.
Si cette case n’est pas sélectionnée, les apps
du profil professionnel ne peuvent pas accéder
aux fonctions de géolocalisation de l’appareil,
même si l’utilisateur a activé le partage de la
position géographique.
Autoriser l’ouverture des liens Web dans les
applis personnelles
Les liens Web que l’utilisateur ouvre dans une
app du profil professionnel peuvent également
être ouverts par une app de navigation
personnelle.
Autoriser le débogage
L’utilisateur peut activer les fonctions de
débogage sous les Options de développement
de l’appareil Android.
Autoriser le déverrouillage de l’appareil par
empreinte digitale
L’utilisateur peut utiliser le capteur d’empreinte
digitale pour déverrouiller l’appareil.
Autoriser les coordonnées professionnelles
pour les appels personnels
L’app du téléphone personnel affiche le nom du
correspondant en cas d’appels entrants passés
par des contacts professionnels.
Autoriser les coordonnées professionnelles
pour les appareils Bluetooth
Les appareils Bluetooth connectés affichent
le nom du correspondant en cas d’appels
personnels entrants passés par des contacts
professionnels.
Autoriser la rechercher de coordonnées
professionnelles dans le profil personnel
L’app du téléphone personnel inclut les
résultats des coordonnées professionnelles lors
de la rechercher de noms de correspondant.
Copyright © Sophos Limited
145
Sophos Mobile
Comptes
Paramètre
Description
Autoriser la gestion des comptes
L’utilisateur peut ajouter ou supprimer des
comptes non Google (par exemple, un compte
d’appli) du profil professionnel.
Réseau et communication
Paramètre
Description
Autoriser les réseaux privés virtuels (VPN)
Les utilisateurs peuvent utiliser des connexions
VPN pour les apps du profil professionnel.
Autoriser Android Beam
Les utilisateurs peuvent envoyer des données
à partir des apps du profil professionnel via
Android Beam (transfert de données par NFC).
Matériel
Paramètre
Description
Autoriser l’appareil photo
Les apps du profil professionnel peuvent
accéder à l’appareil photo.
Applications
146
Paramètre
Description
Autoriser la désinstallation d’applis
Les utilisateurs peuvent désinstaller des apps
du profil professionnel.
Autoriser l’installation d’applis de sources
inconnues
Si cette case n’est pas sélectionnée, les
utilisateurs peuvent uniquement installer
les apps dans le profil professionnel à partir
de Google Play et pas à partir de sources
inconnues ou par le pont Android (ADB ou
Android Debug Bridge).
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la gestion des applis
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas effectuer les tâches
suivantes dans le profil professionnel :
Autoriser la désactivation des contrôles de
sécurité Google
•
Désinstaller les apps
•
Désactiver les apps
•
Arrêter les apps
•
Effacer le cache des apps
•
Effacer les données des apps
•
Effacer le paramètre Ouvrir par défaut
L’utilisateur peut désactiver le paramètre de
sécurité de Google Analyser appareil pour
détecter menaces de sécurité.
Le paramètres est disponible dans les
Paramètres sous Google > Sécurité > Google
Play Protect.
Message court
Un message de support de l’entreprise
que l’utilisateur voit s’afficher lorsqu’une
fonctionnalité a été désactivée.
Remarque
Si vous saisissez plus de 200 caractères,
le message risque de ne pas s’afficher
complètement.
Message long
Texte supplémentaire au message court. Ce
texte s’affiche lorsque l’utilisateur appuie sur
Plus de renseignements sur les vues affichant
le message court.
Remarque
Ce texte est également affiché sur la vue
Administrateur de l’appareil d’Android de
l’app Sophos Mobile Control.
Copyright © Sophos Limited
147
Sophos Mobile
14.15.4 Configuration du compte Exchange (stratégie de profil
professionnel Android Enterprise)
La configuration Compte Exchange permet d’ajouter un compte Exchange à Gmail.
Attention
Une configuration gérée de l’appli Gmail entre en conflit avec la configuration Compte Exchange,
elle n’est donc pas disponible à partir de Sophos Mobile 9.6. Si vous utilisez une configuration
gérée à partir d’une version antérieure, Gmail ignore la configuration Compte Exchange. Cela se
produit même si la configuration gérée est vide.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Utilisateur
Le nom d’utilisateur de ce compte.
Exemples :
Adresse email
•
jeanlint
•
domaine\jeanlint
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Expéditeur
Un nom d’expéditeur pour ce compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
148
Signature par défaut de l’email.
La signature par défaut de l’e-mail.
Authentification
Le type d’authentification utilisé par Gmail lors
de la connexion à Exchange.
•
Authentification moderne : Utilisez
l’authentification moderne (OAuth 2.0).
•
Authentification de base : Utilisez
l’authentification de base (nom d’utilisateur
et mot de passe).
•
Authentification de base et moderne :
Utilisez l’authentification moderne ou de
base, en fonction de la prise en charge
d’Exchange.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Autoriser tous les certificats
Autoriser tous les certificats lors des processus
de transferts à partir du serveur de messagerie.
Certificat du client
Le certificat du client pour la connexion au
serveur Exchange.
Concepts connexes
Configuration gérée (page 395)
14.15.5 Configuration Wi-Fi (stratégie de profil professionnel
Android Enterprise)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
L’identifiant du réseau Wi-Fi.
Type de sécurité
Le type de sécurité de la connexion Wi-Fi :
Copyright © Sophos Limited
•
Aucun
•
WEP
•
WPA/WPA2 PSK
•
EAP/PEAP
•
EAP/TLS
•
EAP/TTLS
149
Sophos Mobile
Paramètre
Description
Autorisation de la phase 2
La méthode d’authentification pour la phase 2
de la négociation EAP :
•
Aucun
•
PAP
•
CHAP
•
MSCHAP
•
MSCHAPv2
Ce champ est disponible pour les connexions
EAP/PEAP et EAP/TTLS.
Identité
L’identité de l’utilisateur.
Ce champ est disponible pour les connexions
EAP.
Identité anonyme
L’identité du pseudonyme envoyée non chiffrée
au cours de la phase 1 de la négociation EAP.
Ce champ est disponible pour les connexions
EAP.
Mot de passe
Le mot de passe du réseau Wi-Fi.
Certificat d’identité
Le certificat d’identité pour la connexion au
réseau Wi-Fi.
La liste contient tous les certificats présents
dans la configuration Certificat du client de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
Certificat approuvé
L’autorité de certification racine pour le certificat
du serveur EAP.
La liste contient tous les certificats présents
dans la configuration Certificat racine de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
150
Copyright © Sophos Limited
Sophos Mobile
14.15.6 Google Play (stratégie de profil professionnel Android
Enterprise)
La configuration Google Play vous permet de gérer l’appli Google Play Store dans le profil
professionnel.
Paramètre
Description
Applis disponibles
Applications auxquelles les utilisateurs peuvent
accéder dans Play Store.
Mettre à jour automatiquement les applis
•
Applis approuvées dans Google Play
d’entreprise. : Les utilisateurs peuvent
uniquement accéder aux applis que vous avez
approuvées pour votre organisation dans Google
Play d’entreprise.
•
Applis de Google Play : Les utilisateurs peuvent
accéder à toutes les applis depuis Google
Play, c’est-à-dire aux mêmes applis que celles
disponibles pour les appareils non gérés.
Options de mise à jour automatique des applis.
•
Sur n’importe quel réseau : Les applis sont
mises à jour automatiquement par le biais d’une
connexion WiFi ou de données mobiles.
•
Uniquement par Wi-Fi : Les applis sont mises à
jour automatiquement uniquement lorsqu’elles sont
connectées au Wi-Fi.
•
Ne pas mettre à jour automatiquement les
applis : Les applis ne se mettent pas à jour
automatiquement.
•
Utiliser le paramètre de l’appareil : Les
utilisateurs peuvent configurer des mises à jour
automatiques dans leur appli Play Store.
14.15.7 Configuration de la Protection des applis (stratégie de
profil professionnel Android Enterprise)
La configuration Protection des applis vous permet de définir le format de mot de passe à utiliser
pour protéger les apps de la boutique Google Play gérée (apps installées sur le profil professionnel).
Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils
démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai
de connexion est imposé.
Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de
passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de
l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des
applis dans le Sophos Mobile Self Service Portal.
Copyright © Sophos Limited
151
Sophos Mobile
Paramètre
Description
Complexité du mot de passe
Le niveau de complexité minimale requis
pour le mot de passe qui sera créé par les
utilisateurs.
Délai de grâce en minutes
À la fin du délai de grâce, les apps protégées
peuvent uniquement être déverrouillées par mot
de passe.
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps protégées par mot de passe.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
Autoriser l’authentification par empreinte
digitale
L’utilisateur peut utiliser son empreinte digitale
pour déverrouiller une app protégée.
14.15.8 Configuration du contrôle des applis (stratégie de profil
professionnel Android Enterprise)
La configuration Contrôle des applis vous permet de définir les applis dont l'utilisation n'est pas
autorisée.
Paramètre
Description
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps bloquées.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
152
Copyright © Sophos Limited
Sophos Mobile
14.15.9 Configuration des autorisations des applis (stratégie de
profil professionnel Android Enterprise)
La configuration Autorisations des applis permet de configurer la réponse à donner lorsqu’une appli
de Google Play d’entreprise demande des autorisations pendant son exécution.
Paramètre
Description
Réponse par défaut pour les demandes
d’autorisation runtime
La réponse par défaut aux demandes
d’autorisation pendant l’exécution :
•
Inviter : Les utilisateurs sont invités à accorder une
autorisation.
•
Accepter automatiquement : toutes les
demandes d’autorisation pendant l’exécution sont
automatiquement accordées.
•
Refuser automatiquement : toutes les
demandes d’autorisation pendant l’exécution sont
automatiquement refusées.
Les utilisateurs ne peuvent pas modifier
les autorisations ultérieurement si vous
sélectionnez Accepter automatiquement ou
Refuser automatiquement.
Autorisations d’exécution des applis
Accorder ou refuser des autorisations
d’exécution pour des applis spécifiques.
Cliquez sur Ajouter pour sélectionner une appli,
puis sélectionnez l’une des options suivantes
pour chaque autorisation :
Copyright © Sophos Limited
•
Sélectionnable : Les utilisateurs peuvent modifier
l’autorisation.
•
Accordée : L’autorisation est accordée.
•
Refusée : L’autorisation est refusée.
153
Sophos Mobile
14.15.10 Configuration VPN (stratégie de profil professionnel
Android Enterprise)
La configuration VPN vous permet de sélectionner un client VPN pour les appareils Android Enterprise.
Paramètre
Description
Client VPN
L’identifiant de l’appli VPN.
Le client VPN doit être une appli Google Play
d’entreprise qui est déjà installée sur l’appareil.
Vous configurez la connexion VPN dans la
configuration gérée de l’app. Retrouvez plus
de renseignements dans la documentation de
l’app.
14.15.11 Configuration du certificat racine (stratégie de profil
professionnel Android Enterprise)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce
certificat est disponible dans les apps de la boutique Google Play gérée (apps installées sur le profil
professionnel).
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
154
Copyright © Sophos Limited
Sophos Mobile
14.15.12 Configuration du certificat du client (stratégie de profil
professionnel Android Enterprise)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce
certificat est disponible dans les apps de la boutique Google Play gérée (apps installées sur le profil
professionnel).
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.15.13 Configuration SCEP (stratégie de profil professionnel
Android Enterprise)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont à
disposition des apps installées sur le profil professionnel.
Remarque
Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de
l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP.
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Copyright © Sophos Limited
155
Sophos Mobile
Paramètre
Description
Nom d’alias
Le nom sous lequel le certificat va apparaître
dans les boîtes de dialogue de sélection.
Il doit s’agir d’un nom facile à mémoriser pour
identifier le certificat. Par exemple, utilisez la
même valeur que dans le champ Objet mais
sans le préfixe CN=.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Type de l’autre nom de l’objet
Valeur de l’autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
156
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.16 Configuration des stratégies de conteneur
Sophos pour Android
Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure
Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur
Sophos.
Remarque
Sur les appareils Android Enterprise, cette stratégie installe également Sophos Secure Workspace
et Sophos Secure Email, si la stratégie contient une configuration Email professionnel.
Approuvez ces applis dans Google Play d’entreprise avant d’assigner la stratégie.
14.16.1 Configuration Généralités (stratégie de conteneur
Sophos pour Android)
La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps
du conteneur Sophos si applicable.
Paramètre
Description
Activer le mot de passe du conteneur
Sophos
Les utilisateurs doivent saisir un mot de passe
supplémentaire pour pouvoir démarrer une
app du conteneur Sophos. Le mot de passe
doit être défini lorsque la première app du
conteneur est démarrée suite à l’application de
la configuration. Ce mot de passe s’applique à
toutes les apps du conteneur.
Copyright © Sophos Limited
157
Sophos Mobile
Paramètre
Description
Complexité du mot de passe
La complexité minimale requise pour le mot de
passe du conteneur Sophos. Les mots de passe
très sécurisés sont toujours autorisés. Les
mots de passe (une combinaison de caractères
numériques et alphanumériques) sont toujours
considérés comme étant plus sûrs que les
codes PIN (caractères numériques uniquement.
•
Toutes : les mots de passe du conteneur
Sophos n’ont pas de restrictions.
•
Code PIN à 4 chiffres
•
Code PIN à 6 chiffres
•
Mot de passe à 4 caractères
•
Mot de passe à 6 caractères
•
Mot de passe à 8 caractères
•
Mot de passe à 10 caractères
Toujours masquer les caractères dans les
champs de saisie du mot de passe
Les caractères utilisés dans les champs de
saisie du mot de passe ne sont pas affichés
temporairement lors de la saisie.
Durée de validité du mot de passe en jours
Le nombre de jours pendant lesquels un mot de
passe peut être utilisé avant que les utilisateurs
ne soient invités à le changer.
Tentatives ratées de connexion avant
verrouillage
Le nombre de tentatives ratées de connexion
autorisées avant verrouillage des apps du
conteneur. Une fois qu’elles sont verrouillées,
un administrateur devra les déverrouiller ou,
s’ils sont autorisés, les utilisateurs pourront
utiliser le Sophos Mobile Self Service Portal
pour effectuer cette opération.
Autoriser l’empreinte digitale
L’utilisateur peut utiliser son empreinte digitale
pour déverrouiller l’app.
Délai de grâce en minutes
La période de temps pendant laquelle aucun
mot de passe du conteneur Sophos ne doit être
saisi lorsque l’app du conteneur est de nouveau
amenée au premier plan.
Ce délai de grâce s’applique à toutes les apps
du conteneur. Vous pouvez passer d’une app à
une autre pendant le délai de grâce sans avoir à
saisir de mot de passe.
158
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Verrouiller au verrouillage de l’appareil
Lorsque l’appareil est verrouillé, le conteneur
Sophos est également verrouillé.
Si la case est dessélectionnée, le conteneur est
verrouillé uniquement après expiration du délai
de grâce.
Dernière connexion au serveur
La période de temps pendant laquelle les
utilisateurs peuvent utiliser une app du
conteneur Sophos sans avoir à se connecter au
serveur Sophos Mobile.
Lorsque une app du conteneur Sophos est
activée et n’est pas en contact avec le serveur
pendant la période de temps définie, un écran
de verrouillage apparaît. Les utilisateurs
peuvent uniquement déverrouiller l’app en
appuyant sur Réessayer sur l’écran de
verrouillage. L’app essaiera de se connecter au
serveur. Si la connexion peut être établie, l’app
est déverrouillée. En cas contraire, l’accès est
refusé.
Copyright © Sophos Limited
•
Sur accès : la connexion au serveur est toujours
requise et l’app est verrouillée lorsque le serveur
n’est pas joignable.
•
1 heure : la connexion au serveur est requise
lorsque l’app est active pendant au moins une
heure après la dernière connexion réussie au
serveur.
•
3 heures
•
6 heures
•
12 heures
•
1 jour
•
3 jours
•
3 jours
•
Aucune : aucun contact régulier n’est requis.
159
Sophos Mobile
Paramètre
Description
Accès hors ligne sans connexion au serveur
Ce champ vous permet de définir la fréquence à
laquelle les utilisateurs peuvent démarrer l’une
des apps du conteneur Sophos sans nécessiter
de connexion au serveur.
Remarque
Ce paramètre nécessite l’activation de la
fonction de mot de passe du conteneur
Sophos.
Un compteur est mis à jour à chaque fois qu’un
utilisateur saisit le mot de passe du conteneur
Sophos. Si le compteur dépasse le nombre
fixé, le même écran de verrouillage que celui
utilisé pour le paramètre Dernière connexion
au serveur apparaît. Le compteur est réinitialisé
si une connexion au serveur Sophos Mobile est
établie.
Accès à la racine autorisé
•
Illimité : aucune connexion au serveur n’est
requise.
•
0 : une connexion au serveur est requise pour
démarrer l’app.
•
1 : après un démarrage de l’app, la connexion au
serveur est nécessaire.
•
3
•
5
•
10
•
20
L’exécution des apps de conteneur est
autorisée sur les appareils débloqués.
Contraintes d’utilisation des apps
Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur
Ajouter pour saisir les contraintes.
160
Géorepérage
Vous permet d’ajouter la latitude et la longitude
ainsi qu’un rayon d’utilisation des apps du
conteneur Sophos.
Limite de temps
Vous permet d’indiquer une période de temps à
laquelle les apps du conteneur Sophos peuvent
être utilisées en précisant une heure de début
et une heure de fin. Il est également possible
d’indiquer les jours de la semaine auxquels les
apps peuvent être utilisées.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Périmètre de connexion Wi-Fi
Si vous sélectionnez Connexion Wi-Fi
obligatoire, le conteneur Sophos est verrouillé
lorsqu’aucune connexion Wi-Fi n’est activée.
Si vous ajoutez des réseaux Wi-Fi à la liste,
le conteneur Sophos est verrouillé lorsque
l’appareil est connecté au réseau Wi-Fi non
répertorié.
Attention
nous vous déconseillons d’utiliser uniquement le
périmètre de connexion Wi-Fi pour assurer votre
sécurité. En effet, les identités Wi-Fi peuvent très
facilement être usurpées.
14.16.2 Email professionnel (stratégie de conteneur Sophos
pour Android)
La configuration Email professionnel vous permet de définir les paramètres de l’utilisateur pour votre
serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Sophos Secure Email si elle est
installée dans le conteneur Sophos.
Remarque
Si l’app Sophos Secure Email n’est pas installée, les utilisateurs reçoivent un message les invitant
à l’installer. Lorsqu’ils démarrent l’app pour la première fois, elle est configurée automatiquement.
Compte de messagerie principal
Paramètre
Description
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Les utilisateurs doivent saisir le mot de passe
du compte sur leurs appareils.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Copyright © Sophos Limited
161
Sophos Mobile
Paramètre
Description
Domaine
Le domaine de ce compte.
Email du support
L’adresse électronique qui sera utilisée pour
contacter le support.
Comptes gérés
En plus du compte de messagerie principal, vous pouvez ajouter jusqu’à deux comptes, appelés
Comptes gérés à Sophos Secure Email.
Veuillez remarquer que :
•
Lorsque vous configurez des comptes gérés, les utilisateurs ne peuvent pas ajouter de comptes
manuellement. Ils peuvent utiliser les comptes qu’ils ont ajoutés avant que la stratégie ne soit
assignée.
•
S’il existe un compte avec la même adresse e-mail, il est converti en compte géré.
Paramètres de messagerie électronique
Paramètre
Description
Autoriser le contenu extérieur
Les utilisateurs peuvent charger du contenu de
messagerie externe comme des images.
Taille maximale autorisée pour l’email
Les messages de taille supérieure à celle
que vous sélectionnez (notamment les pièces
jointes) ne sont pas récupérés à partir du
serveur Exchange.
Détails de la notification
Sélectionnez les informations à afficher dans
les notifications par email.
Ce paramètre affecte également les rappels
d’événements. Si vous sélectionnez Aucune
notification, les rappels d’événements sont
désactivés. Si vous sélectionnez toute autre
valeur, les rappels d’événements sont activés et
incluent la date, le lieu et le titre.
Signature par défaut
La signature par défaut de l’e-mail.
Serveur EWS
L’URL de votre serveur EWS (Exchange Web
Services).
Si vous laissez ce champ vide, Sophos Secure
Email utilise l’URL que vous avez configurée
dans Serveur Exchange.
162
Copyright © Sophos Limited
Sophos Mobile
Fonctions
Paramètre
Description
Synchroniser les tâches et notes Outlook
Les utilisateurs peuvent afficher leurs tâches et
notes Outlook dans Sophos Secure Email.
Les utilisateurs peuvent également créer,
modifier et supprimer des tâches et des notes
par défaut. Pour désactiver cette fonction,
sélectionnez Les tâches et notes sont en
lecture seule.
Les tâches et notes sont en lecture seule
Les utilisateurs ne peuvent pas créer, modifier
ou supprimer des tâches et des notes Outlook
dans Sophos Secure Email.
Exporter les contacts sur l’appareil
Les utilisateurs sont autorisés à exporter les
contacts Exchange dans les contacts locaux de
l’appareil afin de pouvoir identifier les appels de
leurs contacts professionnels.
Sophos Secure Email synchronise en
permanence les coordonnées.
Remarque
Les coordonnées des contacts locaux sont
automatiquement supprimées dans les cas
de figure suivants :
Exporter les noms d’entreprise
•
La configuration de la Messagerie
professionnelle est supprimée de
la stratégie de conteneur Sophos
(nécessite le redémarrage de l’appli
Sophos Secure Email).
•
Le conteneur Sophos est supprimé de
l’appareil.
•
Lorsque l’appareil est désinscrit de
Sophos Mobile.
Le nom de l’entreprise est inclus lors de
l’exportation des contacts de l’entreprise dans
les contacts de l’appareil local.
Lorsque vous activez ce paramètre, seuls le
nom et le numéro de téléphone sont exportés.
Copyright © Sophos Limited
163
Sophos Mobile
Protection des données
Paramètre
Description
Refuser la copie dans le presse-papiers
Les utilisateurs ne peuvent pas copier ou
couper le texte à partir de l’appli Sophos Secure
Email.
Interdire les captures d’écran
L’utilisateur ne peut pas faire de captures
d’écran montrant l’appli Sophos Secure Email.
Autoriser l’affichage/le partage
Les utilisateurs sont autorisés à voir ou partager
les pièces jointes.
Voir les pièces jointes
Sélectionnez si les pièces jointes seront visibles
dans toutes les apps ou uniquement dans les
apps de conteneur Sophos Secure Workspace
et Sophos Secure Email.
Partager les pièces jointes
Avec toutes les applis : les pièces jointes
peuvent être partagées avec toutes les apps
compatibles avec le format du fichier.
Avec les applis du conteneur : Les pièces
jointes sont chiffrées avec une clé de l’appareil
et peuvent uniquement être ouvertes dans
Sophos Secure Workspace. L’action de partage
n’est pas bloquée.
S/MIME
Paramètre
Description
Autoriser le chiffrement S/MIME
Les utilisateurs peuvent envoyer et recevoir des
emails chiffrés avec un certificat S/MIME.
Les certificats S/MIME doivent être stockés
dans le dossier racine du stockage interne.
Ce paramètre n’affecte pas la signature S/
MIME. Les utilisateurs peuvent signer des
emails lorsque leur certificat S/MIME est
disponible sur l’appareil.
OAuth 2.0
Avec ces paramètres, vous configurez Sophos Secure Email pour que les utilisateurs accèdent à
leurs comptes Exchange via la procédure de connexion Office 365 de votre organisation.
164
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Activer OAuth 2.0
Activez l’authentification Office 365.
Terminal d’autorisation
Le terminal (ou point de terminaison)
d’autorisation OAuth de votre application dans
Microsoft Azure.
Saisissez la valeur affichée dans le
portail Azure sous Point de terminaison
d’autorisation OAuth 2.0.
Client ID
L’ID de votre application dans Microsoft Azure.
Saisissez la valeur affichée dans le portail
Azure sous ID d’application (client).
Redirection URI
L’emplacement utilisé par l’API Office 365 pour
les réponses d’authentification.
Saisissez le texte suivant :
sophos://sse/auth
Terminal token
Le terminal (ou point de terminaison) de jeton
OAuth de votre application dans Microsoft
Azure.
Saisissez la valeur affichée dans le portail
Azure sous Point de terminaison de jeton
OAuth 2.0.
Paramètres supplémentaires
Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande.
Tâches connexes
Configurer l’authentification multifacteur pour Sophos Secure Email (page 422)
Une fois l’authentification multifacteur (MFA) configurée pour Sophos Secure Email, les utilisateurs
accèdent à leurs comptes Exchange via la page d’ouverture de session Office 365 de votre entreprise.
14.16.3 Documents professionnels (stratégie de conteneur
Sophos pour Android)
La configuration Documents professionnels vous permet de gérer le fournisseur de stockage
Documents professionnels de Sophos Secure Workspace.
Configurer les fournisseurs de stockage
Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :
Copyright © Sophos Limited
165
Sophos Mobile
Paramètre
Description
Activer
Le fournisseur de stockage est disponible dans
l’app.
Hors ligne
Les utilisateurs sont autorisés à ajouter des
fichiers provenant du fournisseur de stockage à
la liste des Favoris de l’app pour une utilisation
hors ligne.
Ouvrir avec (chiffré)
Les utilisateurs peuvent partager les fichiers
chiffrés avec d’autres apps via la fonction
Ouvrir avec.
Ouvrir avec (déchiffré)
Les utilisateurs peuvent partager les fichiers
déchiffrés avec d’autres apps via la fonction
Ouvrir avec.
Presse-papiers
Les utilisateurs peuvent copier des parties d’un
document et les copier dans d’autres apps.
Paramètres du fournisseur d’entreprise
Pour le fournisseur WebDAV, également appelé le fournisseur d’entreprise, vous pouvez définir
les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci ne
peuvent pas être changés par les utilisateurs.
Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être
choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app.
Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière
centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront
connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage.
Paramètre
Description
Nom
Le nom du fournisseur qui s’affiche dans l’app
Sophos Secure Workspace.
Serveur
Dans ce champ, saisissez :
•
L’URL du dossier racine sur le serveur
WebDAV Documents professionnels.
•
L’URL du dossier racine sur le serveur
WebDAV.
Veuillez utiliser le format suivant : https://
serveur.entreprise.com
Seul le protocole https est pris en charge.
Nom d’utilisateur
166
Le nom d’utilisateur pour le serveur. Vous
pouvez également utiliser la variable
%_USERNAME_%.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Mot de passe
Le mot de passe du compte.
Dossier de téléchargement
Le dossier de téléchargement du compte.
Autres paramètres
Paramètre
Description
Activer les documents
Cette option active la fonction Documents
permettant de distribuer en toute sécurité les
documents d’entreprise.
Complexité de la phrase secrète
La complexité minimale requise pour les
phrases secrètes des clés de chiffrement. Les
phrases secrètes très sécurisées sont toujours
autorisées.
Vous pouvez sélectionner les paramètres
suivants :
•
Mot de passe à 4 caractères
•
Mot de passe à 6 caractères
•
Mot de passe à 8 caractères
•
Mot de passe à 10 caractères
Interdire les captures d’écran
L’utilisateur ne peut pas faire de captures
d’écran montrant l’app Sophos Secure
Workspace.
Paramètres supplémentaires
Veuillez uniquement configurer ces paramètres
si l’équipe du support Sophos vous le demande.
14.16.4 Navigateur professionnel (stratégie de conteneur
Sophos pour Android)
La configuration Navigateur professionnel vous permet de gérer la fonction Navigateur
professionnel de Sophos Secure Workspace.
Le navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de
l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris
d’un domaine.
Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de
domaine est créée automatiquement si elle n’existe pas.
Copyright © Sophos Limited
167
Sophos Mobile
Paramètres généraux
Paramètre
Description
Interdire les captures d’écran
L’utilisateur ne peut pas faire de captures
d’écran montrant le navigateur professionnel.
Paramètres du domaine
Paramètre
Description
URL
Le domaine que vous souhaitez autoriser.
Autoriser la fonction copier/coller
Les utilisateurs peuvent copier/coller du texte à
partir du navigateur professionnel vers d’autres
applis.
Autoriser Ouvrir avec
Les utilisateurs peuvent ouvrir des fichiers
téléchargés dans d’autres applis.
Si vous désactivez ce paramètre, les utilisateurs
peuvent toujours télécharger des fichiers que
Sophos Secure Workspace peut ouvrir.
Le navigateur professionnel stocke les fichiers
téléchargés dans le Stockage sécurisé. Le
paramètre Autoriser Ouvrir avec a priorité sur
les paramètres de Stockage sécurisé dans une
configuration Documents professionnels.
Autoriser l’enregistrement du mot de passe
Les utilisateurs peuvent enregistrer leurs mots
de passe dans le navigateur professionnel.
Paramètres de favoris
168
Paramètre
Description
Nom
Le nom du favori.
URL
L’adresse Web du favori.
Copyright © Sophos Limited
Sophos Mobile
14.16.5 Configuration du Certificat racine (stratégie de
conteneur Sophos pour Android)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce
certificat est à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont
installées dans le conteneur Sophos.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.16.6 Configuration du certificat du client (stratégie de
conteneur Sophos pour Android)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce
certificat est à disposition de l’app Sophos Secure Workspace si cette dernière est installée dans le
conteneur Sophos.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Copyright © Sophos Limited
169
Sophos Mobile
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.16.7 Configuration SCEP (stratégie de conteneur Sophos
pour Android)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont
disponibles pour la fonction Navigateur professionnel de Sophos Secure Workspace.
Remarque
Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de
l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP.
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom d’alias
Le nom sous lequel le certificat va apparaître
dans les boîtes de dialogue de sélection.
Il doit s’agir d’un nom facile à mémoriser pour
identifier le certificat. Par exemple, utilisez la
même valeur que dans le champ Objet mais
sans le préfixe CN=.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
170
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Type de l’autre nom de l’objet
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
Valeur de l’autre nom de l’objet
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
Copyright © Sophos Limited
171
Sophos Mobile
14.17 Configuration des stratégies Mobile Threat
Defense pour Android
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
Attention
Sur les appareils Android Enterprise, cette stratégie installe l’appli Intercept X. Vous devez
approuver l’appli dans Google Play d’entreprise avant d’assigner la stratégie.
14.17.1 Configuration réseau (stratégie Mobile Threat Defense
pour Android)
La configuration Réseau vous permet de gérer la fonction de sécurité Wi-Fi de Sophos Intercept X for
Mobile. Les utilisateurs sont ainsi protégés contre les menaces réseau.
Remarque
Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans
Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier.
Paramètre
Description
Protection contre le « Man-in-themiddle » (intercepteur)
Sophos Intercept X for Mobile vérifie la
connexion Wi-Fi à la recherche d’attaques
(« man-in-the-middle »).
Sophos Mobile crée une alerte lorsqu’une
attaque d’interception (« man-in-the-middle »)
est détectée.
Paramètres supplémentaires
Veuillez uniquement configurer ces paramètres
si l’équipe du support Sophos vous le demande.
14.17.2 Configuration antivirus (stratégie Mobile Threat Defense
pour Android)
La configuration Antivirus vous permet de gérer les paramètres de protection antimalware de Sophos
Intercept X for Mobile.
Remarque
Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans
Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier.
172
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Mode de contrôle Cloud
Sélectionnez le moment auquel Sophos
Intercept X for Mobile charge les dernières
informations sur les malwares à partir du
serveur Sophos.
Intervalle du contrôle planifié
Sélectionnez la fréquence de contrôle
antimalware.
Si vous sélectionnez Quotidiennement
pendant la recharge, un contrôle est effectué
lorsque l’appareil est branché sur secteur
pendant plus de 30 minutes.
Contrôler les applis système
Contrôler les apps système.
Les apps système ne sont pas contrôlées par
défaut car elles sont protégées par le système
d’exploitation Android et parce que l’utilisateur
ne peut pas les supprimer.
Contrôler le stockage
Contrôler la présence de menaces dans tous
les fichiers sur le stockage partagé en interne,
la carte SD et les appareils USB connectés en
plus d’appliquer le contrôle par défaut de toutes
les apps installées.
Détecter les applis potentiellement
indésirables
Contrôler la présence d’applications
potentiellement indésirables (PUA)
Les apps potentiellement indésirables sont des
apps qui ne sont pas malveillantes mais dont
la présence sur les réseaux d’entreprise est
généralement considérée comme inappropriée.
Les PUA sont classées sous le nom d’adware
(logiciel publicitaire), dialer (composeur
de numéros), moniteur système, outils
d’administration à distance et outils de piratage.
Toutefois, il peut arriver que certains utilisateurs
considèrent comme nécessaire l’utilisation
d’apps classées dans la catégorie PUA.
Autoriser l’utilisateur à approuver les PUA
Copyright © Sophos Limited
Les utilisateurs peuvent autoriser une app
classée dans la catégorie PUA. Les apps
autorisées sont ignorées par les prochains
contrôles.
173
Sophos Mobile
Paramètre
Description
Mode
Sélectionnez le mode de traitement des apps
de réputation douteuse :
Autoriser : Désactiver le contrôle des apps de
réputation douteuse.
Avertir : Afficher un avertissement sur l’appareil
lorsqu’une app de faible réputation est détectée.
Les utilisateurs peuvent choisir comment traiter
l’app. Ils peuvent l’ajouter à une liste d’apps
autorisées afin de ne plus recevoir d’autres
avertissements en cas de détection de cette
app.
Bloquer : L’utilisateur ne peut pas démarrer
des apps de réputation douteuse.
Notification de contrôle
Lorsqu’une appli est contrôlée après son
installation, Sophos Intercept X for Mobile crée
une notification.
Si la case n’est pas sélectionnée, aucune
notification n’est créée pour les apps saines.
Surveiller le stockage
Contrôler toute modification dans le stockage
partagé en interne, sur la carte SD et sur
les périphériques USB connectés Lorsque
de nouveaux fichiers sont stockés dans ces
emplacements, ils sont contrôlés.
Groupe d’applis
Sélectionner un groupe d’apps autorisées. Les
apps de ce groupe sont exclues des contrôles.
14.17.3 Configuration du filtrage Web (stratégie Mobile Threat
Defense pour Android)
La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de Sophos Intercept X
for Mobile. Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants ou au
contenu indésirable ou illégal.
Attention
Le filtrage Web bloque tous les sites Web si un appareil ne peut pas se connecter au service de
classification des sites Web Sophos https://4.sophosxl.net/lookup.
Restriction
Le filtrage Web ne fonctionne pas avec les appareils de profil professionnel Android Enterprise.
En effet, le filtrage Web nécessite Sophos Accessibility Service, qui n'est pas disponible lorsqu’il
est installé dans le profil de travail lorsque Sophos Intercept X for Mobile est installé dans le profil
professionnel.
174
Copyright © Sophos Limited
Sophos Mobile
Remarque
Veuillez également désactiver la règle de conformité Les autorisations pour Intercept X for
Mobile peuvent être refusées. En cas contraire, les utilisateurs peuvent arrêter le Filtrage Web
en désactivant Sophos Accessibility Service.
Conseil
Pour tester le filtrage de sites Web, Sophos a créé le site sophostest.com qui contient des
exemples de page pour chaque catégorie. Même si certaines de ces pages sont classées comme
potentiellement offensantes ou dangereuses, leur contenu est sans danger dans tous les cas.
Lorsque vous activez le filtrage Web, Sophos Mobile bloque toujours les pages Web classées
comme activités criminelles hautement répréhensibles, telles que la pornographie juvénile. Pour
empêcher d’autres personnes d’accéder à ces pages, Sophos Mobile masque les URL dans les
journaux, les événements et les rapports.
Paramètres
Paramètre
Description
Filtrer les sites Web malveillants
Sélectionnez si les utilisateurs sont autorisés à
accéder à des sites Web au contenu malveillant.
Créer des alertes
Sélectionnez si une alerte va être générée
lorsque l’utilisateur tente d’accéder à un site
Web filtré.
Vous pouvez également choisir de créer des
alertes uniquement pour les blocages ou pour
les avertissements.
Filtrer les sites Web par catégorie
Sélectionnez si les utilisateurs peuvent accéder
à certains types de sites Web.
Les sites Web sont classés par catégorie
en fonction des données collectées par les
SophosLabs. Ces données sont constamment
mises à jour.
Exceptions de site Web
Configurer les exceptions aux filtres de
catégories :
Domaines autorisés : Sites Web autorisés
même s’ils appartiennent à une catégorie
bloquée.
Domaines bloqués : Sites Web bloqués même
s’ils appartiennent à une catégorie autorisée.
Copyright © Sophos Limited
175
Sophos Mobile
Comment indiquer des exceptions de site Web
Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne
(sans séparateur) :
•
Adresse IPv4 ou IPv6
203.0.113.0
2001:db8:85a3:0:0:8a2e:370:7334
•
Sous-réseau IPv4 ou IPv6
203.0.113.0/24
2001:db8::/32
•
Domaine
www.example.com
•
Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le
caractère situé le plus à gauche.
*.example.com
*example.com
Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer
tous les sites Web.
Logique de filtrage
Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est
prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par
rapport aux listes définies par l’utilisateur.
Les règles de filtrage sont appliquées dans l’ordre suivant :
1. Si le site Web est inclus dans Domaines autorisés, il est autorisé.
2. Si le site Web est inclus dans Domaines bloqués, il est bloqué.
3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé.
4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué.
5. Le site Web est autorisé ou bloqué en fonction de sa catégorie.
Navigateurs compatibles
Le filtrage Web peut être utilisé sur les navigateurs Web suivants :
•
Navigateur Web Android
•
Firefox
•
Google Chrome
•
Microsoft Edge
Il se peut que d’autres navigateurs soient également compatibles mais ils n’ont pas été testés.
176
Copyright © Sophos Limited
Sophos Mobile
14.18 Configuration des stratégies d’appareils
Android
Une stratégies d’appareils Android vous permet de configurer les paramètres des appareils Android
inscrits à Sophos Mobile en mode de gestion « Administrateur de l’appareil ».
Google a rendu ce mode de gestion obsolète et a réduit sa gamme de fonctions. Nous vous
conseillons d’utiliser le mode de gestion Android Enterprise à la place.
Concepts connexes
Configuration des stratégies d’appareils Android Enterprise (page 122)
Une stratégie d’appareil Android Enterprise permet de configurer les paramètres des appareils Android
Enterprise entièrement gérés.
Configuration des stratégies de profil professionnel Android Enterprise (page 139)
Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des
appareils de profil professionnel Android Enterprise.
Tâches connexes
Mode d’administration Android (page 22)
Pour les appareils Android, vous pouvez choisir entre les modes d’administration Android Enterprise
et Administrateur de l’appareil (ancienne fonction).
14.18.1 Configuration des stratégies de mot de passe (stratégie
d’appareil Android)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le
mot de passe de verrouillage de l’écran.
Remarque
Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des
autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile
Admin.
Type de mot de passe
La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les
utilisateurs sont autorisés à configurer :
Paramètre
Description
Modèle, code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran. Ils peuvent choisir
un mode de déverrouillage de l’écran de type
Modèle, Code PIN ou Mot de passe. Aucune
autre restriction n’est imposée.
Copyright © Sophos Limited
177
Sophos Mobile
Paramètre
Description
Mot de passe simple
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
L’utilisation de chiffre est autorisée mais le mot
de passe doit contenir au moins une lettre. Vous
pouvez définir la longueur minimale. Retrouvez
plus de renseignements à ce sujet dans le
tableau ci-dessous.
Code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Code PIN ou
Mot de passe. Vous pouvez définir la longueur
minimale. Retrouvez plus de renseignements à
ce sujet dans le tableau ci-dessous.
Mot de passe alphanumérique
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir
la longueur minimale. Retrouvez plus de
renseignements à ce sujet dans le tableau cidessous.
Mot de passe complexe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir la
longueur minimale ainsi que le nombre minimal
de chiffres, de lettres minuscules et majuscules
et de caractères spéciaux à utiliser. Retrouvez
plus de renseignements à ce sujet dans les
deux tableaux ci-dessous.
Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe
alphanumérique ou Mot de passe complexe, les champs suivants apparaissent :
Paramètre
Description
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Délai d’attente avant demande du mot de
passe
Le temps au bout duquel l’appareil est verrouillé
lorsqu’il n’est pas utilisé. L’appareil peut être
déverrouillé en saisissant le mot de passe.
Remarque
Il se peut que l’appareil impose un période
de temps plus courte que celle que vous
avez configurée ici.
178
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Nombre maximal de tentatives de connexion
L’appareil est réinitialisé après ce nombre de
tentatives de connexion incorrectes.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent :
Paramètre
Description
Nombre minimum de lettres
Le nombre minimum de lettres qu’un mot de
passe doit contenir.
Nombre minimum de lettres minuscules
Le nombre minimum de lettres minuscules
qu’un mot de passe doit contenir.
Nombre minimum de lettres majuscules
Le nombre minimum de lettres majuscules
qu’un mot de passe doit contenir.
Nombre minimum de caractères non
alphabétiques
Le nombre minimum de caractères non
alphabétiques (par exemple & ou !) qu’un mot
de passe doit contenir.
Nombre minimum de chiffres
Le nombre minimum de chiffres qu’un mot de
passe doit contenir.
Nombre minimum de caractères spéciaux
Le nombre minimum de caractères spéciaux
(par exemple !"§$%&/()=,.-;:_@<>) qu’un mot
de passe doit contenir.
Authentification biométrique
Paramètre
Description
Autoriser l’authentification par empreinte
digitale
Si cette fonction est disponible sur l’appareil,
l’utilisateur peut utiliser l’authentification par
empreinte digitale pour déverrouiller l’appareil.
Copyright © Sophos Limited
179
Sophos Mobile
Paramètre
Description
Autoriser l’authentification par l’iris
Si cette fonction est disponible sur l’appareil,
l’utilisateur peut utiliser l’authentification de iris
pour déverrouiller l’appareil.
14.18.2 Configuration des restrictions (stratégie d’appareil
Android)
La configuration Restrictions vous permet de définir les restrictions pour les appareils.
Sécurité
Paramètre
Description
Forcer le chiffrement
L’utilisateur doit chiffrer ses appareils.
Forcer le chiffrement de la carte SD
Lorsque la stratégie est assignée sur un
appareil, l’utilisateur doit chiffrer la carte SD.
Remarque
Sur certains types d’appareils, les
utilisateurs peuvent choisir d’annuler le
chiffrement. Ils verront un message de
rappel la prochaine fois qu’ils connecteront
une carte SD.
180
Autoriser le chiffrement rapide
Les utilisateurs peuvent changer les options
de chiffrement rapide dans les paramètres de
l’appareil.
Autoriser le rétablissement des paramètres
d’usine
Les utilisateurs peuvent restaurer les
paramètres d’usine sur leurs appareils.
Autoriser les Options de développement
Les utilisateurs peuvent changer les options de
développement.
Autoriser le mode sécurisé
Les utilisateurs peuvent démarrer l’appareil en
mode sans échec.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser le débogage USB
Les utilisateurs peuvent activer le débogage
USB.
Remarque
Si la case Autoriser le débogage
USB n’est pas sélectionnée sur les
appareils Sony à partir du niveau 9 de
l’API d’entreprise, toutes les options de
développement sont indisponibles.
Autoriser la récupération du firmware
Tous les types de mises à jour du firmware
(OTA, téléchargement, etc.) sont autorisés.
Autoriser la sauvegarde
Les utilisateurs peuvent créer des sauvegardes
du système.
Si cette case n’est pas sélectionnée, la
sauvegarde Google est désactivée mais toutes
les autres méthodes de sauvegarde (par
exemple, les sauvegardes Sophos Mobile)
restent disponibles.
Autoriser les modifications de paramètres
Les utilisateurs peuvent modifier les paramètres
de l’appareil.
Remarque
Veuillez l’activer pour les appareils Samsung sur
lesquels vous voulez configurer un conteneur
Knox.
Autoriser le Presse-papiers
Les utilisateurs peuvent copier le contenu du
presse-papiers.
Activer le Presse-papiers partagé
Permet aux utilisateurs de copier le contenu du
presse-papiers entre les apps.
Si cette case n’est pas sélectionnée, chaque
app a son propre presse-papiers.
Ce paramètre est uniquement disponible
si vous sélectionnez Autoriser le Pressepapiers.
Autoriser la capture d’écran
Les utilisateurs peuvent prendre des captures
d’écran.
Autoriser les positions GPS factices
Les utilisateurs peuvent activer les fonctions de
débogage sous les Options de développement
de l’appareil Android.
Autoriser les mises à jour OTA du firmware
Les mises à jour OTA du firmware sont
autorisées.
Copyright © Sophos Limited
181
Sophos Mobile
Paramètre
Description
Autoriser l’enregistrement audio
Les utilisateurs peuvent enregistrer le son.
Autoriser l’enregistrement vidéo
Les utilisateurs peuvent enregistrer des vidéos.
Si cette case n’est pas sélectionnée, les
utilisateurs peuvent continuer à prendre des
photos et à lire des vidéos en streaming.
Autoriser le verrouillage de l’activation
Les utilisateurs peuvent changer les options de
verrouillage d’activation dans les paramètres de
l’appareil.
Autoriser S Beam
Les utilisateurs peuvent démarrer l’app
Samsung S Beam.
Autoriser S Voice
Les utilisateurs peuvent démarrer l’app
Samsung S Voice.
Autoriser « Partager par »
La fonction Partager par est disponible.
Comptes
Paramètre
Description
Autoriser le mode multi-utilisateurs
Si cette case n’est pas sélectionnée, le support
multi-utilisateurs est désactivé. Les utilisateurs
ou les apps ne peuvent pas créer de comptes
d’utilisateur supplémentaires.
Autoriser l’ajout de comptes de messagerie
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas ajouter de comptes
de messagerie.
La création de compte via une stratégie
d’appareil est toujours possible.
182
Autoriser la suppression du compte Google
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas supprimer le compte
Google de l’appareil.
Autoriser la synchronisation automatique
des comptes Google
Si cette case n’est pas sélectionnée, les
comptes Google ne sont pas synchronisés
automatiquement. Les utilisateurs sont toujours
en mesure de synchroniser ses comptes
manuellement à partir de certaines apps comme
Gmail.
Copyright © Sophos Limited
Sophos Mobile
Réseau et communication
Paramètre
Description
Autoriser le mode Avion
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas activer le mode
Avion.
Autoriser la synchronisation pendant
l’itinérance
Si cette case n’est pas sélectionnée, la
synchronisation pendant l’itinérance est
désactivée.
Autoriser uniquement les appels d’urgence
Seuls les appels d’urgence sont autorisés. Tous
les autres appels seront bloqués.
Forcer la synchronisation manuelle pendant
l’itinérance
La synchronisation automatique des données
est désactivée lorsque l’appareil est en mode
itinérant. Tous les comptes configurés sont
affectés (par exemple ; Google ou Exchange).
Forcer la connexion aux données mobiles
L’utilisateur ne peut pas désactiver les données
cellulaires.
Autoriser les SMS
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas envoyer de SMS.
Autoriser la connexion aux données mobiles
pendant l’itinérance
Si cette case n’est pas sélectionnée, les
connexions aux données mobiles pendant
l’itinérance sont désactivées.
Autoriser les appels vocaux pendant
l’itinérance
Si cette case n’est pas sélectionnée, les appels
vocaux pendant l’itinérance sont désactivés.
Autoriser la définition de limite des données
mobiles
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas définir une limite de
données mobiles.
Autoriser les réseaux privés virtuels (VPN)
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas utiliser de
connexions VPN.
Autoriser la connexion Wi-Fi directe
Si cette case n’est pas sélectionnée, le transfert
de données via une connexion Wi-Fi directe est
désactivé.
Autoriser Android Beam
Si cette case n’est pas sélectionnée, le transfert
de données via Android Beam est désactivé.
Ceci inclut également l’app Samsung S Beam.
Autoriser la stratégie Miracast
Si cette case n’est pas sélectionnée, le transfert
de données via Miracast est désactivé.
Copyright © Sophos Limited
183
Sophos Mobile
Paramètre
Description
Autoriser Bluetooth
Si cette case n’est pas sélectionnée, la
connexion Bluetooth est désactivée.
Autoriser le profil de distribution audio
avancé
Pour autoriser les profils Bluetooth,
sélectionnez d’abord la case Autoriser
Bluetooth puis les profils à autoriser.
Autoriser le profile de contrôle à distance de
l’audio/vidéo
Autoriser le profil mains libres
Si la case Autoriser Bluetooth n’est pas
sélectionnée, les paramètres n’ont aucun effet,
c’est-à-dire que tous les profils sont interdits.
Autoriser le profil de casque
Autoriser le profil d’accès au répertoire
Autoriser le profil de port en série
Autoriser NFC
Si cette case n’est pas sélectionnée, la
communication NFC est désactivée.
Autoriser la connexion Wi-Fi
Si cette case n’est pas sélectionnée, la
connexion Wi-Fi est désactivée.
Partage de connexion Wi-Fi
Paramètre
Description
Autoriser le partage de connexion Internet
Si cette case n’est pas sélectionnée, le partage
de connexion Internet est désactivé. Ceci inclut
le partage de connexion Internet via Wi-Fi, USB
et Bluetooth.
Remarque
Si cette case n’est pas sélectionnée,
les paramètres Autoriser le partage de
connexion Wi-Fi, Autoriser la connexion
USB et Autoriser la connexion Bluetooth
ne fonctionnent plus.
184
Autoriser le partage de connexion Wi-Fi
Si cette case n’est pas sélectionnée, le partage
de connexion Wi-Fi (point d’accès Wi-Fi) est
désactivé.
Autoriser la connexion USB
Si cette case n’est pas sélectionnée, le partage
de connexion USB est désactivé.
Autoriser la connexion Bluetooth
Si cette case n’est pas sélectionnée, le partage
de connexion Bluetooth est désactivé.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la configuration de la connexion
Wi-Fi
L’utilisateur peut configurer les paramètres du
point d’accès Wi-Fi.
Matériel
Paramètre
Description
Autoriser l’appareil photo
Si cette case n’est pas sélectionnée, l’appareil
photo n’est plus disponible.
Autoriser l’appareil photo pendant le
verrouillage de l’écran
Si cette case n’est pas sélectionnée, l’appareil
photo n’est plus disponible lorsque l’écran est
verrouillé.
Pour autoriser l’appareil photo sur l’écran de
verrouillage, veuillez sélectionnez l’option
Autoriser l’appareil photo.
Forcer le GPS pour les demandes de
géolocalisation
Les informations du GPS sont utilisées pour
géolocaliser l’appareil.
Autoriser la carte SD
Si cette case n’est pas sélectionnée, les cartes
SD sont inutilisables sur les appareils.
Autoriser le déplacement d’applis sur la
carte SD
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas déplacer les apps du
stockage interne sur la carte SD.
Autoriser l’écriture sur la carte SD déchiffrée
Si cette case n’est pas sélectionnée, il n’est
plus possible d’écrire sur les cartes SD
déchiffrées.
Autoriser le microphone
Si cette case n’est pas sélectionnée, le
microphone n’est plus disponible.
Autoriser les périphériques USB
Le mode de stockage de masse sur USB et
le mode périphériques multimédia USB (MTP)
sont disponibles sur l’appareil.
Autoriser le lecteur média USB
Si cette case n’est pas sélectionnée, le
protocole MTP (Media Transfer Protocol) n’est
plus disponible. Android utilise MTP pour le
transfert de fichiers par USB. Par conséquent,
tout transfert de fichiers par USB sera bloqué.
Autoriser le mode d’économie d’énergie
Si cette case n’est pas sélectionnée, l’appareil
ne peut pas se mettre en mode d’économie
d’énergie.
Copyright © Sophos Limited
185
Sophos Mobile
Paramètre
Description
Autoriser le stockage d’hôte USB
Tous les appareils de stockage externe que
l’utilisateur connecte sont montés. Il peut s’agit
d’appareil de stockage USB portables, de
lecteurs HD externes et de lecteurs de carte SD.
Si cette case n’est pas sélectionnée, les
appareils de stockage externe ne sont pas
montés.
Applications
186
Paramètre
Description
Autoriser l’installation d’applis
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas installer d’apps.
Autoriser la désinstallation d’applis
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas désinstaller les
apps.
Autoriser l’installation d’applis non signées
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas installer de fichiers
APK signés.
Autoriser Play Store
Si cette case n’est pas sélectionnée, l’app
Google Play n’est plus disponible sur l’appareil.
Autoriser les applis provenant de sources
inconnues
Si cette case n’est pas sélectionnée, les
utilisateurs peuvent uniquement installer les
apps à partir de l’app de la boutique Google
Play.
Autoriser le navigateur natif
Si cette case n’est pas sélectionnée, le
navigateur natif n’est plus disponible. Les apps
des navigateurs tiers ne sont pas affectées.
Autoriser les rapports de pannes des applis
Si cette case n’est pas sélectionnée, les apps
ne peuvent pas envoyer de rapport de pannes.
Autoriser le changement de fond d’écran
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas changer le fond
d’écran.
Afficher les informations du correspondant
Si cette case n’est pas sélectionnée, les
informations du correspondant ne sont
pas affichées lors d’appels entrants. Tous
les correspondants sont affichés comme
« inconnu ».
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la saisie semi-automatique dans le
navigateur
L’utilisateur peut activer la saisie semiautomatique dans les paramètres du navigateur
Android d’origine. Si cette option est activée,
les pages Web peuvent fournir des suggestions
lorsque l’utilisateur remplit un formulaire.
Si cette case n’est pas sélectionnée, la
saisie semi-automatique est désactivée et le
paramètre du navigateur est indisponible.
Autoriser les cookies dans le navigateur
L’utilisateur peut activer les cookies dans les
paramètres du navigateur Android d’origine. Si
cette option est activée, les pages Web peuvent
enregistrer des cookies sur l’appareil.
Si cette case n’est pas sélectionnée, les
cookies sont désactivés et le paramètre du
navigateur est indisponible.
Autoriser JavaScript dans le navigateur
L’utilisateur peut activer JavaScript dans les
paramètres du navigateur Android d’origine. Si
cette option est activée, les pages Web peuvent
exécuter le code JavaScript sur l’appareil.
Si cette case n’est pas sélectionnée, JavaScript
est désactivé et le paramètre du navigateur est
indisponible.
Autoriser les fenêtres intempestives sur le
navigateur
L’utilisateur peut activer les fenêtres
intempestives dans les paramètres du
navigateur Android d’origine. Si cette option
est activée, les pages Web peuvent ouvrir des
nouvelles fenêtres de navigateur.
Si cette case n’est pas sélectionnée, les
fenêtres intempestives sont désactivées et le
paramètre du navigateur est indisponible.
Autoriser la modification des paramètres de
date et d’heure
L’utilisateur peut changer les paramètres de
date et d’heure.
Type de filtrage
Sélectionnez Applis autorisées ou Applis
interdites, puis sélectionnez le groupe d’applis
contenant les applis que vous souhaitez
autoriser ou interdire.
Les applis que vous installez avec Sophos
Mobile ne sont pas limitées par ce paramètre.
Copyright © Sophos Limited
187
Sophos Mobile
14.18.3 Configuration des Restrictions Knox Premium (stratégie
d’appareil Android)
La configuration des Restrictions Knox Premium vous permet de définir les restrictions pour les
appareils Samsung Knox. Ces restrictions s’appliquent à l’appareil et non pas au conteneur Knox.
Remarque
Pour appliquer les restrictions Knox Premium, veuillez enregistrer une licence Samsung Knox
Premium dans Sophos Mobile.
Option
Description
Autoriser les options de mise à jour
automatique du firmware
L’appareil vérifie automatiquement la présence
de mises à jour du firmware. Les utilisateurs
ne peuvent pas modifier ce paramètre dans les
paramètres de l’appareil.
Activer la vérification ODE Trusted Boot
L’appareil déchiffre uniquement la partition
de données au démarrage si les binaires et le
noyau sont des versions officielles, c’est-à-dire,
si l’appareil n’est pas débloqué (rooted).
Si cette case n’est pas sélectionnez cette
case, l’appareil déchiffre toujours la partition de
données au démarrage.
188
Empêcher l’installation d’une autre appli
administrateur
L’installation d’apps nécessitant les privilèges
administrateur sur l’appareil n’est pas autorisée.
Les applis installées par Sophos Mobile ne sont
pas affectées.
Empêcher l’activation d’une autre appli
d’administration
L’activation des droits administrateur de
l’appareil pour les apps n’est pas autorisée.
Copyright © Sophos Limited
Sophos Mobile
Option
Description
Autoriser le mode « Common Criteria »
Le mode Common Criteria de l’appareil est
activé. L’appareil satisfait aux conditions de
sécurité établies par la norme Mobile Device
Fundamentals Protection Profile (Profil de
protection des fondamentaux des appareils
mobiles).
Remarque : le mode Common Criteria est
uniquement utilisé si les conditions suivantes
sont remplies :
•
Le chiffrement d’appareils est activé.
•
Le chiffrement rapide est désactivé.
•
Le chiffrement du stockage externe est activé.
•
Le nombre de tentatives ratées avant la
réinitialisation de l’appareil est défini.
•
La révocation de certificat est activée.
•
L’historique du mot de passe est désactivé.
14.18.4 Configuration du compte Exchange (stratégie d’appareil
Android)
La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie
Serveur Microsoft Exchange.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Copyright © Sophos Limited
189
Sophos Mobile
Paramètre
Description
Expéditeur
Un nom d’expéditeur pour ce compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Intervalle de synchronisation
L’intervalle entre les processus de
synchronisation de la messagerie.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Compte par défaut
Le compte est utilisé en tant que compte de
messagerie par défaut.
Autoriser tous les certificats
Autoriser tous les certificats lors des processus
de transferts à partir du serveur de messagerie.
Certificat du client
Le certificat du client pour la connexion au
serveur Exchange.
Autoriser le transfert d’emails
Autoriser le transfert d’emails.
Autoriser l’utilisation du format HTML
Autoriser l’utilisation du format HTML dans les
emails.
Taille maximale des pièces jointes (Mo)
La taille maximale d’un email.
Synchroniser les types de contenu
Les types de contenu à synchroniser.
Remarque
Sur les appareils avec LG GATE, Samsung Knox ou Sony Enterprise API, l’app de messagerie
est configurée automatiquement. Sur les autres appareils Android, les utilisateurs reçoivent
un message les invitant à configurer l’appli de messagerie. Les détails de la configuration sont
disponibles dans l’app Sophos Mobile Control.
190
Copyright © Sophos Limited
Sophos Mobile
Remarque
Pour les appareils Sony à partir du niveau 6 d’Enterprise API, les informations du compte
Exchange doivent correspondre à l’utilisateur assigné à l’appareil.
Sur ces appareils, l’appli Sophos Mobile Control n’est pas en mesure d’envoyer l’identifiant
ActiveSync au serveur Sophos Mobile. Lorsque l’appareil contacte le proxy EAS pour la première
fois, l’identifiant ActiveSync que le client de messagerie envoie n’est pas connu par Sophos Mobile.
Pour vérifier les informations du compte, le proxy EAS recherche un appareil avec un identifiant
ActiveSync inconnu et un utilisateur assigné qui correspond aux informations de l’utilisateur
fournies par le client de messagerie. Si cet appareil est trouvé, l’identifiant ActiveSync est assigné
à cet appareil et la demande d’email est transférée au serveur Exchange. Dans le cas contraire, la
demande est rejetée.
Retrouvez plus de renseignements dans l’article 121360 de la base de connaissances Sophos.
14.18.5 Configuration Wi-Fi (stratégie d’appareil Android)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
L’identifiant du réseau Wi-Fi.
Type de sécurité
Le type de sécurité de la connexion Wi-Fi :
Autorisation de la phase 2
•
Aucun
•
WEP
•
WPA/WPA2 PSK
•
EAP/PEAP
•
EAP/TLS
•
EAP/TTLS
La méthode d’authentification pour la phase 2
de la négociation EAP :
•
Aucun
•
PAP
•
CHAP
•
MSCHAP
•
MSCHAPv2
Ce champ est disponible pour les connexions
EAP/PEAP et EAP/TTLS.
Identité
L’identité de l’utilisateur.
Ce champ est disponible pour les connexions
EAP.
Copyright © Sophos Limited
191
Sophos Mobile
Paramètre
Description
Identité anonyme
L’identité du pseudonyme envoyée non chiffrée
au cours de la phase 1 de la négociation EAP.
Ce champ est disponible pour les connexions
EAP.
Mot de passe
Le mot de passe du réseau Wi-Fi.
Certificat d’identité
Le certificat d’identité pour la connexion au
réseau Wi-Fi.
La liste contient tous les certificats présents
dans la configuration Certificat du client de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
Certificat approuvé
L’autorité de certification racine pour le certificat
du serveur EAP.
La liste contient tous les certificats présents
dans la configuration Certificat racine de la
stratégie actuelle.
Ce champ est disponible pour les connexions
EAP.
Hôte proxy
Le nom ou l’adresse IP d’un serveur proxy pour
la connexion Wi-Fi.
Port du proxy
Le numéro de port du serveur proxy.
14.18.6 Configuration de la Protection des applis (stratégie
d’appareil Android)
La configuration de la Protection des apps vous permet de définir le format de mot de passe à utiliser
pour protéger les apps.
Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils
démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai
de connexion est imposé.
Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de
passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de
l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des
applis dans le Sophos Mobile Self Service Portal.
192
Paramètre
Description
Complexité du mot de passe
Le niveau de complexité minimale requis
pour le mot de passe qui sera créé par les
utilisateurs.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Délai de grâce en minutes
À la fin du délai de grâce, les apps protégées
peuvent uniquement être déverrouillées par mot
de passe.
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps protégées par mot de passe.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
Autoriser l’authentification par empreinte
digitale
L’utilisateur peut utiliser son empreinte digitale
pour déverrouiller une app protégée.
14.18.7 Configuration du contrôle des applis (stratégie
d’appareil Android)
La configuration du Contrôle des apps vous permet de définir les apps dont l’utilisation n’est pas
autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les apps préinstallées par le
fabricant de l’appareil et qui ne peuvent pas être désinstallées.
Paramètre
Description
Groupe d’applis
Sélectionnez le groupe d’apps contenant les
apps bloquées.
Retrouvez plus de renseignements sur la
création des groupes d’apps à la section
Groupes d’apps (page 371).
14.18.8 Configuration des Autorisations des apps (Android)
La configuration Autorisations des applis vous permet de configurer la réponse à donner lorsqu’une
appli demande des autorisations pendant son exécution.
Paramètre
Description
Autorisations d’exécution des applis
Accorder ou refuser des autorisations
d’exécution pour des applis spécifiques.
Cliquez sur Ajouter pour sélectionner une appli,
puis sélectionnez l’une des options suivantes
pour chaque autorisation :
Copyright © Sophos Limited
•
Sélectionnable : Les utilisateurs peuvent modifier
l’autorisation.
•
Accordée : L’autorisation est accordée.
•
Refusée : L’autorisation est refusée.
193
Sophos Mobile
14.18.9 Mode kiosque (stratégies d’appareil Android)
La configuration Mode kiosque vous permet de définir les restrictions pour les appareils afin de les
mettre en mode kiosque.
Vous pouvez définir une appli de type kiosque qui est exécutée sur l’appareil.
Remarque
Si l’appli kiosque n’est pas déjà installée sur l’appareil lorsque vous assignez la stratégie, l’état de
la tâche d’assignation reste Incomplet jusqu’à son installation.
Paramètre
Description
Sélectionner la source
Ce paramètre vous permet de sélectionner
comment accéder à l’appli kiosque.
•
Personnalisée : Cette option vous permet de
saisir l’identifiant de l’appli kiosque.
•
Liste des applis : Cette option vous permet
de sélectionner l’appli kiosque dans la liste des
applications Android que vous avez ajoutées à
Sophos Mobile.
•
Aucune appli : Il n’y a pas d’appli kiosque. Les
restrictions du mode kiosque sont appliquées à
l’appareil mais aucune appli n’est démarrée.
Identifiant de l’appli
L’appli kiosque.
Options
Fonctions de l’appareil que vous pouvez
désactiver en mode kiosque.
Si vous ne désactivez aucune fonction de
l’appareil, l’utilisateur pourra quitter l’appli
kiosque et utiliser l’appareil normalement.
Pour définir l’appareil en mode kiosque réel,
veuillez désactiver au moins Autoriser le
bouton Accueil et Autoriser le gestionnaire
de tâches.
Pour les appareils Sony à partir de la version 9
de l’API d’entreprise, si vous dessélectionnez
Autoriser l’augmentation du volume,
Autoriser la baisse du volume ou Autoriser
le mode Muet, tous les boutons de volume de
l’appareil sont désactivés.
194
Copyright © Sophos Limited
Sophos Mobile
14.18.10 Configuration du nom du point d’accès (stratégie
d’appareil Android)
La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN) pour
les appareils mobiles. Les configurations APN définissent la manière dont les appareils se connectent
au réseau mobile.
Attention
Nous vous conseillons de demander à votre opérateur quels sont les paramètres requis. Si
vous sélectionnez Utiliser en tant que Nom du point d’accès par défaut par défaut et que
les paramètres sont incorrects, l’appareil ne pourra pas accéder aux données via les réseaux
cellulaires.
Remarque
À l’exception du champ Nom du point d’accès, tous les paramètres sont facultatifs et doivent
uniquement être remplis si requis par votre opérateur de réseau mobile.
Paramètre
Description
APN
Le Nom du point d’accès que l’appareil
mentionne lorsqu’il établit une connexion avec
l’opérateur.
Il doit correspondre à un Nom du point d’accès
accepté par l’opérateur. Dans le cas contraire,
la connexion ne pourra pas être établie.
Nom convivial
Un nom facultatif affiché sur l’appareil en plus
du Nom du point d’accès.
Serveur
L’adresse du serveur HTTP utilisé pour le trafic
Web.
Port
Le port du serveur HTTP utilisé pour le trafic
Web.
Nom d’utilisateur, Mot de passe de
l’utilisateur
Un nom d’utilisateur et un mot de passe pour la
connexion au Nom du point d’accès.
Serveur
Le serveur de la passerelle WAP.
MMSC
Multimedia Messaging Service Center (MMSC).
Serveur proxy MMS, Port proxy MMS
L’adresse et le port d’un serveur HTTP utilisé
pour la établir la communication avec MMSC.
MCC (Mobile Country Code), MNC (Mobile
Network Code)
MCC et MNC pour indiquer l’opérateur.
Copyright © Sophos Limited
Le Nom du point d’accès est uniquement utilisé
pour cet opérateur.
195
Sophos Mobile
Paramètre
Description
Type d’authentification
La méthode d’authentification pour les
connexions PPP.
Type de Nom du point d’accès
Les types de connexion de données pour
lesquels ce Nom du point d’accès est utilisé.
Pour utiliser le Nom du point d’accès pour
tous les types de données, saisissez * ou ne
remplissez pas ce champ.
Support
La technologie d’accès radio (ou RAT pour
Radio Access Technology) utilisée par
l’opérateur.
Protocole
Le protocole réseau pris en charge par
l’opérateur.
Protocole itinérant
Le protocole réseau pris en charge par
l’opérateur en mode itinérant.
Utiliser en tant que Nom du point d’accès
par défaut
Si cette option est sélectionnée, les appareils
utilisent ce Nom du point d’accès par défaut.
Une erreur est signalée lorsque vous essayez
de sélectionner cette option dans plusieurs
configurations du Nom du point d’accès.
14.18.11 Configuration VPN (stratégie d’appareil Android)
La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.
196
Paramètre
Description
Nom de la connexion
Le nom de la connexion affichée sur l’appareil.
Serveur
Le nom d’hôte ou l’adresse IP du serveur.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Type de connexion
Le type de connexion VPN :
•
L2TP/IPsec (PSK)
Si vous sélectionnez ce type, les champs
Utilisateur, Mot de passe et L2TP/IPsec
(PSK) sont affichés. Saisissez le nom
d’utilisateur et le mot de passe. Dans le
champ L2TP/IPsec (PSK), saisissez la clé
pré-partagée pour l’authentification.
•
L2TP/IPsec (certificat)
Si vous sélectionnez ce type, les champs
Certificat du client, Certificat racine,
Utilisateur et Mot de passe sont affichés.
Dans les champs Certificat du client et
Certificat racine, sélectionnez les certificats
adéquats. Saisissez également le nom
d’Utilisateur et le Mot de passe adéquat.
•
Cisco AnyConnect
Si vous sélectionnez ce type, vous pouvez
télécharger les fichiers XML avec un profil
VPN AnyConnect et/ou un profil NVM
(Network Visibility Module). Retrouvez
plus de renseignements sur ces profils
dans le guide d’administration de Cisco
AnyConnect.
14.18.12 Configuration du certificat racine (stratégie d’appareil
Android)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Copyright © Sophos Limited
197
Sophos Mobile
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.18.13 Configuration du certificat du client (stratégie
d’appareil Android)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.18.14 Configuration SCEP (stratégie d’utilisateur Android)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Remarque
Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de
l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP.
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
198
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Nom d’alias
Le nom sous lequel le certificat va apparaître
dans les boîtes de dialogue de sélection.
Il doit s’agir d’un nom facile à mémoriser pour
identifier le certificat. Par exemple, utilisez la
même valeur que dans le champ Objet mais
sans le préfixe CN=.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Type de l’autre nom de l’objet
Valeur de l’autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Copyright © Sophos Limited
199
Sophos Mobile
Paramètre
Description
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.19 Configuration des stratégies de conteneur
Knox
Une stratégie de conteneur Knox vous permet de configurer les paramètres du conteneur Knox sur les
appareils Samsung.
14.19.1 Configuration des stratégies de mot de passe (stratégie
de conteneur Knox)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le
mot de passe du conteneur Knox.
Remarque
Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des
autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile
Admin.
Type de mot de passe
La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les
utilisateurs sont autorisés à configurer :
200
Paramètre
Description
Modèle, code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran. Ils peuvent choisir
un mode de déverrouillage de l’écran de type
Modèle, Code PIN ou Mot de passe. Aucune
autre restriction n’est imposée.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Mot de passe simple
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
L’utilisation de chiffre est autorisée mais le mot
de passe doit contenir au moins une lettre. Vous
pouvez définir la longueur minimale. Retrouvez
plus de renseignements à ce sujet dans le
tableau ci-dessous.
Code PIN ou mot de passe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Code PIN ou
Mot de passe. Vous pouvez définir la longueur
minimale. Retrouvez plus de renseignements à
ce sujet dans le tableau ci-dessous.
Mot de passe alphanumérique
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir
la longueur minimale. Retrouvez plus de
renseignements à ce sujet dans le tableau cidessous.
Mot de passe complexe
Les utilisateurs doivent définir un mode de
déverrouillage de l’écran de type Mot de passe.
Le mot de passe doit contenir une combinaison
de lettres et de chiffres. Vous pouvez définir la
longueur minimale ainsi que le nombre minimal
de chiffres, de lettres minuscules et majuscules
et de caractères spéciaux à utiliser. Retrouvez
plus de renseignements à ce sujet dans les
deux tableaux ci-dessous.
Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe
alphanumérique ou Mot de passe complexe, les champs suivants apparaissent :
Paramètre
Description
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Délai d’attente avant demande du mot de
passe
Le temps au bout duquel le conteneur Knox est
verrouillé lorsqu’il n’est pas utilisé. Le conteneur
peut être déverrouillé en saisissant le mot de
passe.
Remarque
Il se peut que l’appareil impose un période de
temps plus courte que celle que vous avez
configurée ici.
Copyright © Sophos Limited
201
Sophos Mobile
Paramètre
Description
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Nombre maximal de tentatives de connexion
Le conteneur Knox est supprimé après ce
nombre de tentatives de connexion incorrectes.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent :
Paramètre
Description
Nombre minimum de lettres
Le nombre minimum de lettres qu’un mot de
passe doit contenir.
Nombre minimum de lettres minuscules
Le nombre minimum de lettres minuscules
qu’un mot de passe doit contenir.
Nombre minimum de lettres majuscules
Le nombre minimum de lettres majuscules
qu’un mot de passe doit contenir.
Nombre minimum de caractères non
alphabétiques
Le nombre minimum de caractères non
alphabétiques (par exemple & ou !) qu’un mot
de passe doit contenir.
Nombre minimum de chiffres
Le nombre minimum de chiffres qu’un mot de
passe doit contenir.
Nombre minimum de caractères spéciaux
Le nombre minimum de caractères spéciaux
(par exemple !"§$%&/()=,.-;:_@<>) qu’un mot
de passe doit contenir.
Authentification biométrique
202
Paramètre
Description
Autoriser l’authentification par empreinte
digitale
Si cette fonction est disponible sur l’appareil,
l’utilisateur peut utiliser l’authentification
par empreinte digitale pour déverrouiller le
conteneur Knox.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser l’authentification par l’iris
Si cette fonction est disponible sur l’appareil,
l’utilisateur peut utiliser l’authentification par l’iris
pour déverrouiller le conteneur Knox.
Autoriser l’authentification du visage
Si cette fonction est disponible sur l’appareil,
l’utilisateur peut utiliser la reconnaissance
faciale pour déverrouiller le conteneur Knox.
14.19.2 Configuration des Restrictions (stratégie de conteneur
Knox)
La configuration des Restrictions vous permet de configurer les restrictions et paramètres associés du
conteneur Knox des appareils Samsung.
Paramètre
Description
Autoriser la capture d’écran
L’utilisateur peut faire des captures d’écran du
contenu des apps présentes dans le conteneur
Samsung Knox.
Autoriser l’appareil photo
Les apps présentes dans le conteneur
Samsung Knox ont accès à l’appareil photo.
Autoriser le Presse-papiers
L’utilisateur peut copier le contenu du pressepapiers.
Autoriser « Partager par »
La fonction Partager par utilisée par certaines
apps est activée.
Autoriser le microphone
Les apps présentes dans le conteneur
Samsung Knox ont accès au microphone.
Appliquer l’utilisation du clavier sécurisé
L’utilisateur doit se servir du clavier sécurisé.
Autoriser l’ajout de nouveaux comptes de
messagerie
L’utilisateur peut ajouter d’autres comptes de
messagerie que les comptes configurés par une
stratégie Sophos Mobile.
Autoriser l’exportation de données
Les apps personnelles ont accès aux données
depuis le conteneur Samsung Knox.
Autoriser la copie de fichiers dans le
conteneur
Les fichiers personnels peuvent être copiés ou
déplacés dans le conteneur Samsung Knox.
Autoriser Bluetooth
Les apps présentes dans le conteneur
Samsung Knox peuvent utiliser les connexions
Bluetooth.
Copyright © Sophos Limited
203
Sophos Mobile
Paramètre
Description
Autoriser NFC
Les apps se trouvant dans le conteneur
Samsung Knox peuvent utiliser les connexions
NFC (communication en champ proche).
Appliquer l’authentification multi-facteur
Plusieurs méthodes d’authentification sont
requises pour déverrouiller le conteneur
Samsung Knox, comme par exemple le mot de
passe ou l’empreinte digitale.
Type de filtrage
Sélectionnez Applis autorisées ou Applis
interdites, puis sélectionnez le groupe d’applis
contenant les applis que vous souhaitez
autoriser ou interdire.
Les applis que vous installez avec Sophos
Mobile ne sont pas limitées par ce paramètre.
14.19.3 Configuration du compte Exchange (stratégie de
conteneur Knox)
La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie
Serveur Microsoft Exchange. Ces paramètres sont appliqués au conteneur Samsung Knox.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Expéditeur
Un nom d’expéditeur pour ce compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
204
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Intervalle de synchronisation
L’intervalle entre les processus de
synchronisation de la messagerie.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Compte par défaut
Le compte est utilisé en tant que compte de
messagerie par défaut.
Autoriser tous les certificats
Autoriser tous les certificats lors des processus
de transferts à partir du serveur de messagerie.
Autoriser le transfert à partir d’autres
comptes
Ce compte peut être utilisé pour transférer des
emails reçu par un autre compte.
Si nous prenons l’exemple d’un compte A se
trouvant dans le conteneur Knox qui contient
également un autre compte (le compte B), un
email reçu par le compte B peut être transféré à
l’aide du compte A en tant qu’expéditeur.
Remarque
Ce paramètre est uniquement utilisé par l’app de
messagerie Android d’origine.
Autoriser l’utilisation du format HTML
Autoriser l’utilisation du format HTML dans les
emails.
Taille maximale des pièces jointes (Mo)
La taille maximale d’un email.
Synchroniser les types de contenu
Les types de contenu à synchroniser.
Copyright © Sophos Limited
205
Sophos Mobile
14.20 Configuration des stratégies d’appareils iOS
Une stratégie d’appareils iOS permet de configurer les paramètres des iPhone et iPad.
14.20.1 Configuration des stratégies de mot de passe (stratégie
d’appareil iOS)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le
mot de passe de l’appareil.
Remarque
Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de
grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer
son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité
en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur
l’appareil, même les applis internes.
206
Paramètre
Description
Accepter les valeurs simples
Les utilisateurs sont autorisés à utiliser des
caractères séquentiels ou répétés dans leur mot
de passe (par exemple 1111 ou abcde).
Exiger des valeurs alphanumériques
Les mots de passe doivent contenir au moins
une lettre ou un chiffre.
Longueur minimum du mot de passe
Indique le nombre minimum de caractères
qu’un mot de passe doit contenir.
Nombre minimum de caractères complexes
Indique le nombre minimum de caractères non
alphanumériques (par exemple & ou !) qu’un
mot de passe doit contenir.
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Verrouillage automatique maximal (en
minutes)
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer sur
l’appareil. Le verrouillage automatique indique
au bout de combien de temps (en minutes)
l’appareil doit être verrouillé lorsqu’il n’est pas
utilisé.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Délai de grâce maximal avant verrouillage de
l’appareil
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer
sur l’appareil. Le délai de grâce avant
le verrouillage de l’appareil vous permet
d’indiquer pendant combien de temps
l’appareil peut être déverrouillé suite à un
verrouillage sans demande de mot de passe.
Si vous sélectionnez Aucun, l’utilisateur peut
sélectionner l’un des intervalles disponibles.
Si vous sélectionnez Immédiatement, les
utilisateurs doivent saisir un mot de passe à
chaque fois qu’ils déverrouillent leur appareil.
Nombre de tentatives ratées avant
réinitialisation de l’appareil
Ce champ vous permet d’indiquer le nombre
de tentatives ratées de saisie du mot de
passe qu’il est possible d’effectuer avant que
l’appareil soit réinitialisé. Après six tentatives
ratées, l’utilisateur doit attendre pendant un
moment avant de pouvoir saisir de nouveau
un mot de passe. Le délai d’attente augmente
à chaque tentative ratée. Suite à l’échec de la
dernière tentative, toutes les données et les
paramètres sont supprimés de l’appareil. Le
délai d’attente commence à la sixième tentative.
Par conséquent, si vous définissez cette valeur
sur 6 ou sur une valeur inférieure, il n’y a
aucun délai d’attente et l’appareil est réinitialisé
lorsque la limite des tentatives autorisées est
dépassée.
14.20.2 Configuration des restrictions (stratégie d’appareil iOS)
La configuration Restrictions vous permet de définir les restrictions pour les appareils.
Remarque
Certaines options sont uniquement disponibles sur certaines versions d’iOS ou d’iPadOS sur les
appareils supervisés. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin.
Copyright © Sophos Limited
207
Sophos Mobile
Appareil
Paramètre
Description
Autoriser l’installation d’applis
Si cette case n’est pas sélectionnée, la boutique
App Store n’est plus disponible et l’icône
disparaît de l’écran d’Accueil. L’utilisateur ne
peut pas installer ou mettre à jour les apps via
l’App Store ou via Apple Configurator.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser l’installation d’applis à partir de
l’interface de l’appareil
Si cette case n’est pas sélectionnée, la boutique
App Store n’est plus disponible et l’icône
disparaît de l’écran d’Accueil. L’utilisateur peut
toujours installer ou mettre à jour les apps
depuis Apple Configurator.
Autoriser l’utilisation de l’appareil photo
Si cette case est dessélectionnée, l’appareil
photo n’est plus disponible et l’icône de
l’Appareil photo disparaît de l’écran d’Accueil.
L’utilisateur ne peut pas prendre de photos,
enregistrer de vidéos ou utiliser FaceTime.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser FaceTime
L’utilisateur peut passer ou recevoir des appels
vidéo FaceTime.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
208
Autoriser la capture d’écran
Les utilisateurs peuvent prendre des captures
d’écran.
Autoriser la synchronisation automatique
pendant l’itinérance
Si cette case n’est pas sélectionnée,
les appareils itinérants se synchronisent
uniquement lorsque l’utilisateur accède au
compte.
Autoriser Siri
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas utiliser Siri, les
commandes vocales ou le mode dictée.
Autoriser Siri lorsque l’appareil est
verrouillé
Si cette case n’est pas sélectionnée, les
utilisateurs doivent déverrouiller son appareil en
saisissant son mot de passe avant d’utiliser Siri.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser Siri à demander du contenu sur
Internet
Si cette case n’est pas sélectionnée, Siri ne fera
aucune demande de contenu sur Internet.
Forcer le filtrage du langage explicite de Siri
Si cette case n’est pas sélectionnée, le filtrage
du langage explicite de Siri n’est pas appliqué
sur l’appareil.
Autoriser la composition vocale pendant
que l’appareil est verrouillé
Si cette case n’est pas sélectionnée, l’utilisateur
ne peut pas composer de numéros à l’aide
des commandes vocales lorsque l’appareil est
verrouillé par mot de passe.
Si l’utilisateur n’a pas configuré un mot de
passe sur l’appareil, la composition vocale est
toujours autorisée.
Autoriser Passbook pendant que l’appareil
est verrouillé
Les notifications Passbook sont affichées
lorsque l’appareil est verrouillé.
Autoriser les achats intégrés
L’utilisateur peut effectuer des achats intégrés.
Obliger l’utilisateur à saisir le mot de passe
iTunes Store pour tous les achats
Les utilisateurs doivent saisir leur mot de passe
d’identifiant Apple pour effectuer leurs achats.
Si cette case n’est pas sélectionnée, un court
délai de grâce permet à l’utilisateur d’effectuer
d’autres achats sans avoir à saisir de nouveau
son mot de passe.
Autoriser les jeux multijoueurs
L’utilisateur peut jouer à des jeux en mode
multijoueurs dans Game Center.
Autoriser l’utilisation de Game Center
Si cette case est dessélectionnée, Game
Center n’est plus disponible.
Autoriser l’ajout d’amis dans Game Center
L’utilisateur peut ajouter des amis à Game
Center.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la modification de Localiser mes
amis
Si cette case n’est pas sélectionnée, les
modifications de l’app de Localiser mes amis ne
sont plus possibles.
Autoriser Localiser mes amis
Les utilisateurs peuvent retrouver des gens
dans l’appli Find My.
Si vous désactivez Autoriser Localiser mon
appareil et Autoriser Localiser mes amis
en même temps, l’appli Find My n’est plus
disponible.
Copyright © Sophos Limited
209
Sophos Mobile
Paramètre
Description
Autoriser Localiser mon appareil
Les utilisateurs peuvent retrouver des appareils
dans l’appli Find My.
Si vous désactivez Autoriser Localiser mon
appareil et Autoriser Localiser mes amis
en même temps, l’appli Find My n’est plus
disponible.
210
Autoriser le jumelage entre hôtes
Si la case n’est pas cochée, vous pouvez
uniquement jumeler l’appareil avec les Macs
que vous avez configurés pour la supervision
d’appareil.
Autoriser le jumelage avec Apple Watch
Si cette case n’est pas sélectionnée, les
utilisateurs ne peuvent pas jumeler l’appareil
avec une Apple Watch. Tout jumelage avec une
Apple Watch est annulé.
Forcer la détection du poignet
Une Apple Watch jumelée doit utiliser la
détection du poignet.
Autoriser AirDrop
Le partage de contenu avec AirDrop est activé.
Autoriser le Centre de contrôle pendant le
verrouillage de l’écran
Si cette case n’est pas sélectionnée, le Centre
de contrôle n’est plus disponible lorsque l’écran
de l’appareil est verrouillé.
Autoriser le Centre de notifications pendant
le verrouillage de l’écran
Si cette case est dessélectionnée, le Centre de
notifications n’est plus disponible lorsque l’écran
de l’appareil est verrouillé.
Autoriser la vue Aujourd’hui pendant le
verrouillage de l’écran
Si cette case est dessélectionnée, la vue
Aujourd’hui n’est plus disponible lorsque l’écran
de l’appareil est verrouillé.
Autoriser les actualités
L’app Actualités est disponible.
Autoriser les mises à jour directes des ICP
Les mises à jour directes des ICP sont
possibles.
Autoriser l’accès à l’iBooks Store
L’utilisateur peut acheter des livres dans
iBooks.
Autoriser l’accès aux livres au contenu
érotique dans l’iBooks Store
Si cette case est dessélectionnée, l’accès
aux livres au contenu érotique par le biais de
l’iBooks Store est interdit.
Autoriser l’installation des profils de
configuration
L’utilisateur peut installer des profils de
configuration.
Autoriser l’utilisation d’iMessage
L’utilisateur peut utiliser iMessage pour envoyer
ou recevoir des SMS.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la suppression d’applis
L’utilisateur peut désinstaller des apps de
l’appareil.
Autoriser la suppression des applis système
L’utilisateur peut désinstaller des apps système
de l’appareil.
Autoriser l’effacement du contenu et des
réglages
Si cette case est dessélectionnée, l’option
Effacer contenu et réglages dans le menu
Réinitialiser n’est plus disponible.
Autoriser la recherche sur Internet pour
Spotlight
Si cette case est dessélectionnée, Spotlight
ne fournit plus de résultats de recherche sur
Internet.
Autoriser l’activation de l’option de
restrictions
Si cette case est dessélectionnée, l’option
Activer les restrictions dans le menu
Réinitialiser n’est plus disponible.
Autoriser Handoff
L’utilisateur peut utiliser la fonctionnalité
de Continuité d’Apple nommée Handoff. La
fonctionnalité Handoff permet à l’utilisateur de
commencer à travailler sur un document, email
ou message sur un appareil et de continuer sur
un autre appareil.
Autoriser la modification du nom de
l’appareil
L’utilisateur peut changer le nom de l’appareil.
Autoriser la modification du fond d’écran
L’utilisateur peut changer le fond d’écran.
Autoriser la modification des paramètres de
notification
L’utilisateur peut changer les paramètres de
notification.
Autoriser les raccourcis clavier
L’utilisateur peut utiliser les raccourcis clavier.
Autoriser la dictée pour la saisie clavier
L’utilisateur peut activer le paramètres du
clavier Activer la dictée.
Autoriser la saisie prédictive
L’utilisateur peut activer le paramètres du
clavier Saisie prédictive.
Autoriser la correction automatique
L’utilisateur peut activer le paramètres du
clavier Correction automatique.
Autoriser la vérification orthographique
L’utilisateur peut activer le paramètres du
clavier Vérifier l’orthographe.
Autoriser le téléchargement automatique
d’applis
Si cette case est dessélectionnée, le
téléchargement automatique des apps achetées
sur d’autres appareils est désactivé. Les
mises à jour des apps existantes ne sont pas
affectées.
Copyright © Sophos Limited
211
Sophos Mobile
Paramètre
Description
Autoriser Apple Music
L’utilisateur peut accéder à la bibliothèque
Apple Music.
Autoriser Apple Music Radio
L’utilisateur peut accéder à Apple Music Radio.
Autoriser la modification des paramètres
Bluetooth
L’utilisateur peut modifier les paramètres
Bluetooth.
Autoriser la création d’un VPN
L’utilisateur peut ajouter des configurations
VPN.
Forcer la date et l’heure automatiques
Dans le paramètre Date et heure, l’option
Réglage automatique est activée et ne peut
pas être désactivée par l’utilisateur.
Autoriser le clavier QuickPath
L’utilisateur peut utiliser la fonctionnalité
QuickPath du clavier.
Autoriser la session temporaire iPad
partagée
Les utilisateurs peuvent accéder à l’iPad
partagé sans mot de passe en appuyant sur
Invité sur la page de connexion. Une session
temporaire démarre.
Lorsque les utilisateurs se déconnectent d’une
session temporaire, toutes leurs données sont
supprimées.
Dans une session temporaire, les utilisateurs ne
peuvent pas modifier les paramètres du compte
ni se connecter aux services Apple.
Délai de mise à jour des logiciels iOS et
iPadOS
Le nombre de jours de délais de mise à jour
d’iOS ou d’iPadOS après leur date de sortie.
Saisir une valeur entre 0 (aucun délai) et 90.
212
Copyright © Sophos Limited
Sophos Mobile
Données de l’entreprise
Paramètre
Description
Autoriser le partage des documents
uniquement dans les applis/comptes
administrés
Cette option limite l’ouverture des documents
aux applis ou comptes administrés par
Sophos Mobile, (par exemple ; un compte de
messagerie professionnelle).
Si Sophos Mobile est utilisé pour administrer
le compte de messagerie des utilisateurs et
que les applis installées sur leurs appareils
mobiles sont administrées par Sophos Mobile,
les pièces jointes de ce compte de messagerie
administré pourront uniquement être ouvertes à
l’aide d’applis administrées.
De cette manière, vous pouvez empêcher
l’ouverture de documents professionnels par
des apps non administrées.
Si vous désactivez ce paramètre, les deux
paramètres suivants sont également désactivés.
Les contacts des comptes administrés peuvent
être partagés avec les apps non administrées.
Autoriser les applis administrées à écrire les
contacts sur des comptes non administrés
Les apps administrées ont le droit en écriture
des contacts sur des comptes non administrés.
Autoriser les applis non administrées à lire
les contacts à partir de comptes administrés
Les apps non administrées ont le droit en
lecture des contacts à partir de comptes
administrés.
Autoriser le partage des documents
uniquement dans les applis/comptes non
administrés
Cette option limite l’ouverture des documents
aux applis ou comptes administrés par
Sophos Mobile, (par exemple ; un compte de
messagerie privé).
Si Sophos Mobile n’est pas utilisé pour
administrer le compte de messagerie des
utilisateurs et les applis installées sur leurs
appareils mobiles, les pièces jointes de ce
compte de messagerie non administré pourront
uniquement être ouvertes à l’aide d’applis non
administrées.
De cette manière, vous pouvez empêcher
l’ouverture de documents personnels par des
apps administrées.
Forcer l’utilisation non administrée des
documents AirDrop
AirDrop est considéré comme non administré.
Autoriser les applis administrées à se
synchroniser avec iCloud
Les apps administrées peuvent utiliser la
synchronisation avec iCloud.
Copyright © Sophos Limited
213
Sophos Mobile
Paramètre
Description
Autoriser la sauvegarde des livres
d’entreprise
Les livres d’entreprise sont sauvegardés.
Autoriser la synchronisation des passages
surlignés et des notes pour les livres
d’entreprise
Les notes et passages surlignés des livres
d’entreprise sont synchronisés.
Applications
Paramètre
Description
Autoriser l’utilisation de l’iTunes Store
Si cette case est dessélectionnée, la boutique
iTunes n’est plus disponible et l’icône disparaît
de l’écran d’Accueil. L’utilisateur ne peut
pas prévisualiser, acheter ou télécharger de
contenu.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser l’utilisation de Safari
Si cette case est dessélectionnée, le navigateur
Web Safari n’est plus disponible et l’icône
disparaît de l’écran d’Accueil. L’utilisateur ne
peut pas non plus ouvrir de clips Web.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Activer le remplissage automatique
Si cette case est dessélectionnée, Safari ne
remplit pas automatiquement les formulaires
Web avec les informations saisies auparavant.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
214
Forcer l’avertissement de fraude
Le paramètre de sécurité Safari permettant
d’avertir l’utilisateur lorsqu’il se trouve sur un
site Web de phishing est toujours activé.
Bloquer les fenêtres intempestives
Le blocage des fenêtres intempestives de Safari
est activé.
Autoriser JavaScript dans le navigateur
Les pages Web peuvent exécuter le code
JavaScript sur l’appareil.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Accepter les cookies
Ce champ vous permet d’indiquer si Safari
accepte les cookies.
Lorsque vous autorisez les cookies, vous
pouvez indiquer si les cookies du site
actuellement ouvert, ceux des sites visités
auparavant ou ceux de tous les sites sont
acceptés.
Autoriser la modification de l’utilisation des
données cellulaires par appli
L’utilisateur peut changer l’utilisation des
données cellulaires par app.
Autoriser les connexions aux lecteurs
réseau
Les utilisateurs peuvent se connecter aux
lecteurs réseau dans l’appli Fichiers
Autoriser les connexions aux appareils USB
Les utilisateurs peuvent connecter des
appareils USB.
Type de filtrage
Sélectionnez Applis autorisées ou Applis
interdites, puis sélectionnez le groupe d’applis
contenant les applis que vous souhaitez
autoriser ou interdire.
iCloud
Paramètre
Description
Autoriser la sauvegarde
Les utilisateurs peuvent sauvegarder leurs
appareils dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la synchronisation des documents
Les utilisateurs peuvent conserver les
documents et les données de configuration des
apps dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Copyright © Sophos Limited
215
Sophos Mobile
Paramètre
Description
Autoriser Flux de photos
Les utilisateurs peuvent télécharger les photos
dans Mon flux de photos.
Attention
Si la case d’interdiction de Mon flux de
photos n’est pas sélectionnée, les photos
déjà existantes partagées sur Mon flux
de photos sont supprimées de tous les
appareils. S’il n’existe aucune autre copie
de ces photos, elles seront perdues.
Autoriser la bibliothèque de photos iCloud
Les utilisateurs peuvent utiliser la Bibliothèque
de photos iCloud.
Autoriser les flux de photos partagés
Les utilisateurs peuvent inviter d’autres
utilisateurs à consulter les flux de photos ainsi
que les flux de photos partagés par d’autres
utilisateurs.
Autoriser la synchronisation du trousseau
iCloud
Les utilisateurs peuvent se servir du Trousseau
iCloud pour synchroniser les mots de passe sur
leurs iPhones, iPads et Macs.
Si la case n’est pas sélectionnée, les données
du Trousseau iCloud sont uniquement stockées
localement sur l’appareil.
Sécurité et confidentialité
Paramètre
Description
Autoriser l’envoi des données de diagnostic
à Apple
Si cette case n’est pas sélectionnée, les
informations de diagnostic ne seront pas
transmises à Apple.
Autoriser l’utilisateur à accepter des
certificats TLS non approuvés
Si cette case n’est pas sélectionnée, il ne sera
pas demandé aux utilisateurs s’ils acceptent des
certificats ne pouvant pas être vérifiés.
Ce paramètre s’applique à Safari et aux
comptes de contacts de messagerie et de
Calendrier.
216
Accepter les applis d’entreprise
Les apps d’entreprise sont acceptées.
Autoriser la modification du mot de passe
L’utilisateur peut ajouter, changer ou supprimer
le mot de passe de l’appareil.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la modification du compte
Si cette case est dessélectionnée, l’utilisateur
ne peut pas modifier les comptes. Le menu
Comptes n’est plus disponible.
Autoriser Touch ID et Face ID à déverrouiller
l’appareil
Si cette case n’est pas sélectionnée, l’appareil
ne peut pas être déverrouillé par authentification
biométrique.
Forcer le suivi publicitaire limité
L’utilisation des apps de données d’utilisateurs
anonymes ne sont plus disponibles pour
effectuer le suivi publicitaire.
Forcer les copies de sauvegarde chiffrées
Les utilisateurs doivent chiffrer les sauvegardes
dans iTunes.
Forcer la connexion aux réseaux Wi-Fi
configurés
Les appareils peuvent uniquement se connecter
aux réseaux Wi-Fi qui ont été configurés par
une stratégie Sophos Mobile.
Forcer l’activation du Wi-Fi
Les utilisateurs ne peuvent pas désactiver
le Wi-Fi. Le Wi-Fi reste donc activé en mode
Avion.
Autoriser AirPrint
Les utilisateurs peuvent envoyer des fichiers sur
des imprimantes AirPrint.
Autoriser le stockage des codes d’accès
AirPrint
Le nom d’utilisateur et le mot de passe AirPrint
peuvent être stockés sur le jeu de clés du
système.
Autoriser la recherche iBeacon
d’imprimantes AirPrint
L’appareil utilise iBeacon pour rechercher les
appareils AirPrint.
Attention
Si vous autorisez ceci, les appareils AirPrint
malveillants peuvent lancer des attaques de
phishing sur le trafic réseau.
Forcer les certificats approuvés pour
AirPrint sur TLS
AirPrint sur TLS est rejeté si l’appareil AirPrint
utilise un certificat non approuvé.
Autoriser le Démarrage rapide pour le
transfert vers un autre appareil
L’utilisateur peut transférer des données à partir
de l’appareil existant vers un nouvel appareil
en utilisant la fonction Démarrage rapide de
l’assistant d’installation.
Copyright © Sophos Limited
217
Sophos Mobile
Paramètre
Description
Autoriser le remplissage automatique à la
saisie du mot de passe
L’utilisateur peut activer le paramètre
Remplissage automatique des mots de
passe qui lui permet d’utiliser le mot de passe
ou les coordonnées de la carte de paiement
enregistrés dans Safari ou dans d’autres apps.
Si la case n’est pas sélectionnée, la suggestion
automatique de mots de passe complexes est
également désactivée.
Forcer l’authentification avant le
remplissage automatique
L’utilisateur doit s’authentifier lorsqu’il utilise le
remplissage automatique.
Ce paramètres est uniquement appliqué sur
les appareils compatibles avec Face ID ou
Touch ID.
Demander les mots de passe Wi-Fi à partir
d’appareils à proximité
L’appareil demande les mots de passe à partir
d’appareils se trouvant à proximité lors de la
configuration d’une connexion Wi-Fi.
Autoriser le partage de mots de passe
AirDrop
L’utilisateur peut partager les mots de passe
dans le Gestionnaire des mots de passe avec
d’autres utilisateurs avec AirDrop.
Classement du contenu
Paramètre
Description
Autoriser la musique et les podcasts
explicites
Si cette case est dessélectionnée, la musique et
les vidéos à contenu explicites seront masquées
dans la boutique iTunes. Le contenu explicite
est identifié par les fournisseurs de contenu,
comme par exemple, les maisons de disques,
lorsqu’il est répertorié sur la boutique iTunes.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Tâches connexes
Configuration de la supervision des appareils (page 86)
218
Copyright © Sophos Limited
Sophos Mobile
Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent
être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB.
14.20.3 Configuration du compte Exchange (stratégie d’appareil
iOS)
La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie
Serveur Microsoft Exchange.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Ce champ n’est pas pris en compte si vous
utilisez OAuth sans URL de connexion à OAuth.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Activer OAuth 2.0
Le compte utilise l’authentification Oauth 2,
c’est-à-dire que les utilisateurs s’authentifient
avec leurs codes d’accès Microsoft.
Terminal d’autorisation OAuth
L’URL du terminal OAuth qui gère les
demandes d’authentification des utilisateurs,
c’est-à-dire la page de connexion Microsoft.
Lorsque vous utilisez ce paramètre, la fonction
Autodiscover d’Exchange Online et Exchange
Server est désactivée. Veuillez donc saisir une
adresse de serveur dans Serveur Exchange.
Terminal token OAuth
Copyright © Sophos Limited
L’URL du terminal OAuth gérant les demandes
de token d’accès.
219
Sophos Mobile
Paramètre
Description
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Autoriser les déplacements
L’utilisateur peut transférer ses emails de ce
compte vers un autre compte. Ceci permet
également d’empêcher l’utilisation d’un
autre compte pour répondre ou transférer un
message à partir de ce compte.
Autoriser la synchronisation d’adresses
récentes
Le compte est inclus dans la synchronisation
des adresses récemment utilisées avec d’autres
appareils à l’aide d’iCloud.
Utiliser uniquement dans les messages
Le compte peut uniquement être utilisé pour
envoyer des messages à partir de l’appli de
messagerie. Il ne peut pas être sélectionné
comme compte pour envoyer des messages
créés par d’autres apps comme par exemple
Photos ou Safari.
Certificat d’identité
Sélectionnez le certificat d’identité pour la
connexion au serveur Exchange.
La liste contient tous les certificats présents
dans la configuration du Certificat du client de
la stratégie actuelle.
Activer S/MIME
Les utilisateurs peuvent envoyer et recevoir des
emails chiffrés avec un certificat S/MIME.
Certificat de signature
Les certificats utilisés pour la signature et le
chiffrement des emails.
Certificat de chiffrement
Vous devez télécharger un certificat avant de
pouvoir le sélectionner. Vous pouvez le faire
dans la configuration Certificat du client de la
stratégie en cours.
220
Autoriser l’utilisateur à envoyer des emails
chiffrés
Les utilisateurs peuvent choisir de chiffrer les
emails qu’ils envoient.
Synchroniser le calendrier
Les éléments du calendrier Outlook
(événements, rendez-vous, réunions) sont
synchronisés avec l’appli Calendrier.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
L’utilisateur peut changer la synchronisation
du calendrier
L’utilisateur peut activer ou désactiver la
synchronisation du calendrier.
Synchroniser les contacts
Les contacts Outlook sont synchronisés avec
l’appli Contacts.
L’utilisateur peut changer la synchronisation
des contacts
L’utilisateur peut activer ou désactiver la
synchronisation des contacts.
Synchroniser la messagerie
La messagerie Outlook est synchronisée avec
l’appli Messagerie.
L’utilisateur peut changer la synchronisation
de la messagerie
L’utilisateur peut activer ou désactiver la
synchronisation de le messagerie.
Synchroniser les notes
Les notes Outlook sont synchronisées avec
l’appli Notes.
L’utilisateur peut changer la synchronisation
des notes
L’utilisateur peut activer ou désactiver la
synchronisation des notes.
Synchroniser les tâches
Les tâches Outlook sont synchronisées avec
l’appli Rappels.
L’utilisateur peut changer la synchronisation
des tâches
L’utilisateur peut activer ou désactiver la
synchronisation des tâches.
14.20.4 Configuration Wi-Fi (stratégie d’appareil iOS)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
Le nom du réseau Wi-Fi.
Connexion automatique
Se connecter automatiquement au réseau Wi-Fi
s’il est disponible.
Réseau masqué
Le réseau Wi-Fi ne diffuse pas son SSID.
Copyright © Sophos Limited
221
Sophos Mobile
Paramètre
Description
Désactiver l’adresse du domicile
Rejoindre le réseau avec l’adresse MAC
matérielle de l’appareil plutôt qu’avec l’adresse
réseau spécifique créée par iOS.
Ce paramètre réduit la confidentialité de la
connexion. Veuillez uniquement l’utiliser si
l’appareil doit s’identifier avec la même adresse
MAC sur vos réseaux.
Notez que l’intégration du contrôle d’accès
réseau (NAC) à un système NAC tiers ne
fonctionne pas pour les appareils qui utilisent
une adresse MAC privée. Le système NAC
ne connaît que l’adresse privée d’un appareil,
alors que Sophos Mobile connaît uniquement
l’adresse matérielle.
Type de sécurité
Le type de sécurité du réseau Wi-Fi.
Mot de passe
Le mot de passe du réseau Wi-Fi.
Cette option est disponible lorsque vous avez
sélectionné un type de sécurité personnelle.
Protocoles
Les paramètres du protocole d’authentification.
•
Types d’EAP acceptés : Les types EAP que
l’appareil accepte pour l’authentification.
•
EAP-FAST : Pour EAP-FAST, vous pouvez
configurer un PAC (Protected Access Credential).
•
Identité interne : Protocole pour l’authentification
des utilisateurs par tunnel (pour TTLS).
•
Version TLS minimale, Version TLS maximale :
Les versions TLS minimales et maximales
du protocole TLS que l’appareil accepte pour
l’authentification EAP.
Protocoles est disponible lorsque vous avez
sélectionné un type de sécurité professionnelle.
222
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Authentification
Les paramètres d’authentification du client.
•
Utilisateur : Le nom d’utilisateur pour la connexion
au réseau Wi-Fi.
•
Demander le mot de passe à chaque
connexion : Sélectionnez cette option pour
envoyer le mot de passe à chaque authentification.
•
Mot de passe : Le mot de passe du réseau Wi-Fi.
•
Certificat d’identité : Le certificat pour la
connexion au réseau Wi-Fi. Avant de pouvoir
sélectionner un certificat, vous devez l’ajouter à
la stratégie avec une configuration Certificat du
client.
•
Identité externe : L’identifiant externe visible (pour
TTLS, PEAP et EAP-FAST).
Authentification est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Certificats approuvés
Le certificat du serveur.
Avant de pouvoir sélectionner un certificat,
vous devez l’ajouter à la stratégie avec une
configuration Certificat racine.
Certificats approuvés est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
Copyright © Sophos Limited
223
Sophos Mobile
14.20.5 Configuration du Mode app unique (stratégie d’appareil
iOS)
La configuration Mode app unique vous permet de définir les paramètres du processus de
verrouillage des appareils dans une seule app afin d’empêcher l’utilisation d’autres apps.
Options
Paramètre
Description
Sélectionner la source
Sélectionnez la manière dont l’app doit être
spécifiée pour le mode app unique :
Identifiant d’app
•
Liste des apps : Sélectionnez l’app dans la
liste des apps iOS disponibles.
•
Personnalisée : saisissez manuellement
l’identifiant du package de l’app.
L’app du mode app unique.
Sélectionnez une app dans la liste ou saisissez
un identifiant du package.
224
Désactiver l’écran tactile
Les entrées tactiles ne sont plus disponibles.
Désactiver la rotation
La rotation de l’écran n’est plus possible.
Désactiver les boutons de volume
Les boutons de volume ne sont plus
disponibles.
Désactiver le commutateur de la sonnerie
Le commutateur de la sonnerie n’est plus
disponible.
Désactiver le bouton Marche/Veille
Le bouton de mise en veille n’est plus
disponible.
Désactiver le verrouillage automatique
La fonction Verrouillage automatique qui met
l’appareil en veille après une période d’activité
est désactivée.
Activer VoiceOver
VoiceOver est disponible.
Activer Zoom
La fonction Zoom est disponible.
Activer Inverser les couleurs
La fonction Inverser les couleurs est disponible.
Activer AssistiveTouch
AssistiveTouch est disponible.
Activer Énoncer la sélection
La fonction Énoncer la sélection est disponible.
Activer Audio mono
La fonction Audio mono est disponible.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Activer le contrôle vocal
La Contrôle vocal est disponible.
Options modifiables par l’utilisateur
Paramètre
Description
VoiceOver
les utilisateurs peuvent activer ou désactiver
VoiceOver.
Zoom
les utilisateurs peuvent activer ou désactiver le
Zoom.
Inverser les couleurs
les utilisateurs peuvent activer ou désactiver
Inverser les couleurs.
AssistiveTouch
les utilisateurs peuvent activer ou désactiver
AssistiveTouch.
Contrôle vocal
les utilisateurs peuvent activer ou désactiver le
Contrôle vocal.
14.20.6 Configuration du nom du point d’accès (stratégie
d’appareil iOS)
La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN)
pour les iPhones et les iPads. Les configurations APN définissent la manière dont les appareils se
connectent au réseau mobile.
Remarque
La configuration Nom du point d’accès est abandonnée en faveur de la configuration Cellulaire.
Retrouvez plus de renseignements à la section Configuration cellulaire (stratégie d’appareil iOS)
(page 227).
Attention
Si ces paramètres sont incorrects, l’appareil ne pourra pas accéder aux données par le biais du
réseau de téléphonie mobile. Pour annuler les changements de paramètres, la stratégie doit être
supprimée de l’appareil.
Copyright © Sophos Limited
225
Sophos Mobile
Paramètre
Description
APN
Le Nom du point d’accès que l’appareil
mentionne lorsqu’il établit une connexion GPRS
avec l’opérateur.
Il doit correspondre à un Nom du point d’accès
accepté par l’opérateur. Dans le cas contraire,
la connexion ne pourra pas être établie.
Nom d’utilisateur pour le point d’accès
Le nom d’utilisateur du point d’accès.
Les iPhones et les iPads prennent en charge
les noms d’utilisateur APN composés d’un
maximum de 64 caractères.
Mot de passe pour le point d’accès
Le mot de passe du point d’accès.
Les iPhones et les iPads prennent en charge
les mots de passe APN composés d’un
maximum de 64 caractères.
Serveur, Port
L’adresse et le port du serveur proxy.
14.20.7 Configuration de l’itinérance/Borne Wi-Fi (stratégie
d’appareil iOS)
La configuration Itinérance/Borne Wi-Fi vous permet de définir les paramètres d’itinérance et des
bornes Wi-Fi.
Remarque
L’utilisateur peut modifier ces paramètres sur son appareil à tout moment.
Paramètre
Description
Activer Voix à l’étranger
La Voix à l’étranger n’est plus disponible.
Ce paramètre est ignoré si l’opérateur du
réseau de téléphonie mobile ne prend pas en
charge la Voix à l’étranger.
Activer Données à l’étranger
Les Données à l’étranger ne sont plus
disponibles.
Activer Partage de connexion
L’utilisateur peut configurer l’appareil afin de
l’utiliser en tant que point d’accès personnel.
Ce paramètre est ignoré si l’opérateur du
réseau de téléphonie mobile ne prend pas en
charge les bornes Wi-Fi.
226
Copyright © Sophos Limited
Sophos Mobile
14.20.8 Configuration cellulaire (stratégie d’appareil iOS)
La configuration Cellulaire vous permet de définir les paramètres du réseau cellulaire pour les iPhones
et les iPads.
Remarque
Une configuration Cellulaire ne peut pas être installée sur un appareil si la configuration Nom du
point d’accès est déjà installée.
Paramètre
Description
Authentification
PAP
CHAP
APN
Le Nom du point d’accès que l’appareil
mentionne lorsqu’il établit une connexion GPRS
avec l’opérateur.
Il doit correspondre à un Nom du point d’accès
accepté par l’opérateur. Dans le cas contraire,
la connexion ne pourra pas être établie.
Nom d’utilisateur pour le point d’accès
Le nom d’utilisateur pour le point d’accès.
Remarque
le système iOS prend en charge les noms
d’utilisateur APN composés d’un maximum
de 64 caractères.
Mot de passe pour le point d’accès
Le mot de passe du point d’accès.
Remarque
le système iOS prend en charge les mots
de passe APN composés d’un maximum de
64 caractères.
Serveur, Port
Copyright © Sophos Limited
L’adresse et le port du serveur proxy.
227
Sophos Mobile
14.20.9 Configuration des Règles d’utilisation du réseau
(stratégie d’appareil iOS)
La configuration des Règles d’utilisation du réseau vous permet d’indiquer la manière dont les apps
administrées vont être autorisées à utiliser les réseaux de données cellulaires.
Règles générales
Sous Règles pour toutes les apps administrées, saisissez les paramètres pour les apps
administrées.
Paramètre
Description
Autoriser les données cellulaires
Les apps administrées sont autorisés à utiliser
la communication de données sur les réseaux
cellulaires.
Autoriser les données à l’étranger
Les apps administrées sont autorisées à utiliser
la communication de données pendant que
l’appareil est en mode itinérance sur un réseau
cellulaire à l’étranger.
Exceptions
Les exceptions remplacent les règles générales. Utilisez Ajouter une exception pour définir les
règles spécifiques à un groupe d’apps.
Paramètre
Description
Groupe d’apps
Sélectionner un groupe d’apps.
L’exception s’applique à toutes les apps gérées
dans ce groupe.
Autoriser les données cellulaires
Les apps administrées du groupe d’apps
sélectionné sont autorisées à utiliser la
communication de données sur les réseaux
cellulaires.
Autoriser les données à l’étranger
Les apps administrées du groupe d’apps
sélectionné sont autorisées à utiliser la
communication de données pendant que
l’appareil est en mode itinérance sur un réseau
cellulaire à l’étranger.
Remarque
Vous ne pouvez pas définir plusieurs exceptions pour le même groupe d’apps.
228
Copyright © Sophos Limited
Sophos Mobile
14.20.10 Configuration VPN (stratégie d’utilisateur iOS)
La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.
Paramètre
Description
Nom de la connexion
Le nom de la connexion affichée sur l’appareil.
Type de connexion
Le type de connexion VPN :
•
Cisco AnyConnect
•
Cisco Legacy AnyConnect
•
IPsec (Cisco)
•
F5
•
Check Point
•
SSL/TLS personnalisé
Les différents champs d’entrée sont affichés sur
la page VPN en fonction du type de connexion
que vous sélectionnez.
Identifiant (format de résolution DNS
inverse)
L’identifiant personnalisé au format DNS
inverse.
Serveur
Le nom d’hôte ou l’adresse IP du serveur.
Compte
Le compte de l’utilisateur pour l’authentification
de la connexion.
Paramètres tiers
Si votre fournisseur a précisé des propriétés
de connexion personnalisées, vous pouvez les
saisir dans ce champ.
Pour saisir une propriété, cliquez sur Ajouter
et saisissez la Clé et la Valeur de la propriété
dans la boîte de dialogue.
Envoyer tout le trafic par VPN
Tout le trafic est envoyé par VPN.
Groupe
Le groupe qui sera requis pour l’authentification
de la connexion.
Copyright © Sophos Limited
229
Sophos Mobile
Paramètre
Description
Authentification de l’utilisateur
Le type d’authentification de l’utilisateur pour la
connexion :
•
Mot de passe
Si vous sélectionnez cette option, le
champ Mot de passe apparaît en
dessous du champ Authentification de
l’utilisateur. Saisissez le mot de passe pour
l’authentification.
•
Certificat
Si vous sélectionnez cette option, le
champ Certificat apparaît en dessous du
champ Authentification de l’utilisateur.
Sélectionnez un certificat.
Authentification de l’appareil
Le type d’authentification de l’appareil :
•
Clés (secret partagé)/Nom du groupe
Si vous sélectionnez cette option, les
champs Nom du groupe, Clés (secret
partagé), Utiliser une authentification
hybride et Demander le mot de passe
sont affichés en dessous du champ
Authentification de l’appareil. Saisissez
les informations d’authentification requises
dans les champs Nom du groupe et Clés
(secret partagé). Sélectionnez Utiliser une
authentification hybride et Demander le
mot de passe si nécessaire.
•
Certificat
Si vous sélectionnez cette option, les
champs Certificat et Inclure le code PIN
de l’utilisateur sont affichés en dessous
du champ Authentification de l’appareil.
Sélectionnez le certificat requis dans la liste
Certificat. Sélectionnez Inclure le code
PIN de l’utilisateur pour inclure le code
PIN de l’utilisateur à l’authentification de
l’appareil.
230
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Proxy
Les paramètres proxy pour la connexion :
•
Aucun proxy
•
Manuel
Si vous sélectionnez l’une de ces
options, les champs Serveur et port,
Authentification et Mot de passe
apparaissent. Dans le champ Serveur
et port, saisissez l’adresse et le port
du serveur proxy. Dans le champ
Authentification, saisissez le nom
d’utilisateur pour la connexion au serveur
proxy. Dans le champ Mot de passe,
saisissez le mot de passe pour la connexion
au serveur proxy.
•
Automatique
Si vous sélectionnez cette option, le champ
URL du serveur proxy apparaît. Saisissez
l’URL du serveur avec le paramètre du
proxy dans ce champ.
Type de fournisseur
Le type de connexion VPN.
•
Proxy de l’appli : le trafic réseau est
envoyé par un tunnel VPN au niveau de
l’application.
•
Tunnel de paquets : le trafic réseau est
envoyé par un tunnel VPN au niveau du
réseau.
14.20.11 Configuration de la connexion VPN via l’app (stratégie
d’appareil iOS)
La configuration Connexion VPN via l’app vous permet de définir les paramètres VPN pour chaque
app.
Vous pouvez configurer les apps pour qu’elles se connectent automatiquement à VPN dès qu’elles
sont lancées. Vous avez, par exemple, la possibilité de vous assurer que les données transmises
par les apps administrées transitent par le biais du VPN.
Après avoir créé des configurations VPN via l’app, vous pouvez sélectionner une configuration sur la
page Modification du package d’une app. Retrouvez plus de renseignements à la section Assigner
une connexion VPN à une appli iPhone ou iPad (page 369).
Paramètre
Description
Nom de la connexion
Le nom de la connexion affichée sur l’appareil.
Copyright © Sophos Limited
231
Sophos Mobile
Paramètre
Description
Type de connexion
Le type de connexion VPN :
•
Cisco AnyConnect
•
Cisco Legacy AnyConnect
•
F5
•
Check Point
•
SSL/TLS personnalisé
Les différents champs d’entrée sont affichés sur
la page VPN en fonction du type de connexion
que vous sélectionnez.
Identifiant (format de résolution DNS
inverse)
L’identifiant personnalisé au format DNS
inverse.
Serveur
Le nom d’hôte ou l’adresse IP du serveur.
Compte
Le compte de l’utilisateur pour l’authentification
de la connexion.
Paramètres tiers
Si votre fournisseur a précisé des propriétés
de connexion personnalisées, vous pouvez les
saisir dans ce champ.
Pour saisir une propriété, cliquez sur Ajouter
et saisissez la Clé et la Valeur de la propriété
dans la boîte de dialogue.
Envoyer tout le trafic par VPN
Tout le trafic est envoyé par VPN.
Groupe
Le groupe qui sera requis pour l’authentification
de la connexion.
Authentification de l’utilisateur
Le type d’authentification de l’utilisateur pour la
connexion :
•
Mot de passe
Si vous sélectionnez cette option, le
champ Mot de passe apparaît en
dessous du champ Authentification de
l’utilisateur. Saisissez le mot de passe pour
l’authentification.
•
Certificat
Si vous sélectionnez cette option, le
champ Certificat apparaît en dessous du
champ Authentification de l’utilisateur.
Sélectionnez un certificat.
232
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Proxy
Les paramètres proxy pour la connexion :
•
Aucun proxy
•
Manuel
Si vous sélectionnez l’une de ces
options, les champs Serveur et port,
Authentification et Mot de passe
apparaissent. Dans le champ Serveur
et port, saisissez l’adresse et le port
du serveur proxy. Dans le champ
Authentification, saisissez le nom
d’utilisateur pour la connexion au serveur
proxy. Dans le champ Mot de passe,
saisissez le mot de passe pour la connexion
au serveur proxy.
•
Automatique
Si vous sélectionnez cette option, le champ
URL du serveur proxy apparaît. Saisissez
l’URL du serveur avec le paramètre du
proxy dans ce champ.
Type de fournisseur
Copyright © Sophos Limited
Le type de connexion VPN.
•
Proxy de l’appli : le trafic réseau est
envoyé par un tunnel VPN au niveau de
l’application.
•
Tunnel de paquets : le trafic réseau est
envoyé par un tunnel VPN au niveau du
réseau.
233
Sophos Mobile
Paramètre
Description
Domaines Safari
Dans ce champ, vous pouvez saisir une liste de
chaînes de domaine. Utilisez une nouvelle ligne
pour chaque chaîne de domaine.
Lorsqu’un domaine correspondant à l’une des
chaînes de domaine est ouvert dans Safari ou
dans une autre navigateur, la connexion à VPN
est déclenchée.
La règle correspondant au comportement est la
suivante :
•
Les points au début ou à la fin de la chaîne
sont ignorés. Par exemple, la chaîne
.exemple.com correspond aux mêmes
domaines que la chaîne exemple.com.
•
Chaque composant de chaîne doit
correspondre à un composant de
domaine tout entier. Par exemple, la
chaîne exemple.com correspond au
domaine www.exemple.com mais pas à
www.monexemple.com.
•
Les chaînes avec un seul composant
correspondent uniquement à ce domaine
spécifique. Par exemple, la chaîne exemple
correspond au domaine exemple mais pas
à www.exemple.com.
14.20.12 Configuration du Web clip (stratégie d’appareil iOS)
La configuration Web clip vous permet de définir les Web clips à ajouter à l’écran d’accueil des
appareils des utilisateurs. Les Web clips offrent un accès rapide aux pages Web favorites. Vous
pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone du support afin de
fournir un moyen rapide d’appeler le service d’assistance.
234
Paramètre
Description
Description
Une description du Web clip.
URL
L’adresse Web du serveur du Web clip.
Peut être supprimé
Si cette case est dessélectionnée, l’utilisateur
ne peut pas supprimer le Web clip. Le seul
moyen de le supprimer de l’appareil sera de
supprimer la stratégie avec laquelle il a été
installé.
Plein écran
Le Web clip s’ouvre en plein écran sur
l’appareil. Un Web clip affiché en plein écran
ouvre l’URL en tant qu’app Web.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Icône
Sélectionnez une image à utiliser comme icône
du Web Clip sur l’écran d’accueil. L’image doit
être au format PNG, GIF ou JPEG et d’une taille
maximale de 1 Mo.
L’image est coupée à la taille d’un carré
et redimensionnée pour correspondre à la
résolution de l’écran. Pour des résultats
optimaux, nous vous conseillons d’utiliser une
taille d’image de 180 px par 180 px.
Remarque
Lorsqu’une favicon est définie dans le code HTML
d’une page Web, l’appareil peut afficher cette
favicon en tant qu’icône Web Clip. Ceci se produit
uniquement sur certaine pages Web selon la
manière dont la favicon a été configurée dans le
code de la page Web.
14.20.13 Configuration du fond d’écran (stratégie d’appareil
iOS)
La configuration Fond d’écran vous permet de définir les images du fond d’écran de l’écran de
verrouillage et/ou de l’écran d’accueil des iPhones et des iPads.
Paramètre
Description
Applicable à
Sélectionnez si l’image sera utilisée pour l’écran
de verrouillage, pour l’écran d’accueil ou pour
les deux.
Image
Sélectionner une image PNG ou JPEG d’une
taille maximale de 5 Mo pour le fond d’écran.
iOS rogne et redimensionne l’image si
nécessaire. Pour des résultats optimaux,
veuillez utiliser les tailles d’image suivantes (en
pixels) :
•
640 × 1136 (iPhone 5)
•
750 × 1334 (iPhone 6/7)
•
1242 × 2208 (iPhone 6/7 Plus)
•
1536 × 2048 (iPad, iPad mini, iPad Air)
•
2048 × 2732 (iPad Pro)
Remarque
L’utilisateur peut changer le fond d’écran.
Copyright © Sophos Limited
235
Sophos Mobile
14.20.14 Configuration du filtre de contenu Web (stratégie
d’appareil iOS)
La configuration Filtre de contenu Web vous permet de définir les URL bloquées et autorisées à l’aide
de favoris.
Paramètre
Description
URL bloquées
Sélectionnez cette option pour configurer les
URL auxquelles les utilisateurs ne sont pas
autorisés à accéder.
Saisissez une URL par ligne.
URL autorisées avec favoris
Sélectionnez cette option pour configurer
les URL autorisées avec des favoris pour le
navigateur Safari.
Les autres URL seront bloquées.
Bloquer le contenu pour adulte
Sur la page Filtre de contenu Web, utilisez
cette option pour activer le filtre Apple et bloquer
le contenu pour adultes. Par exemple, les pages
Web contenant du langage vulgaire ou des
propos sexuels.
14.20.15 Configuration du proxy HTTP global (stratégie
d’appareil iOS)
La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel.
Paramètre
Description
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
236
Serveur
Le nom (ou l’adresse IP) du proxy HTTP.
Port
Le numéro de port du proxy HTTP.
Authentification
Le nom d’utilisateur pour la connexion au
serveur proxy.
Mot de passe
Le mot de passe pour la connexion au serveur
proxy.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
URL PAC
L’URL du fichier de configuration automatique
de proxy (PAC).
14.20.16 Configuration des domaines administrés (stratégie
d’appareil iOS)
La configuration des Domaines administrés vous permet de définir les domaines administrés pour les
iPhones et les iPads.
Domaines de messagerie
Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant
d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant
extérieure au domaine dans l’app de messagerie.
Domaines Web
Les fichiers téléchargés à partir d’un des domaines configurés sont traités comme des documents
administrés. Si vous activez la restriction Autoriser le partage des documents uniquement dans
les applis/comptes administrés, ces documents pourront uniquement être ouverts par des applis
administrées.
Retrouvez plus de renseignements sur les apps administrées à la section Applis gérées pour
iPhones et iPads (page 362).
Remarque
Si une entrée de domaine Web administré contient un numéro de port, seules les adresses
indiquant ce numéro de port seront considérées comme administrées. Autrement, seuls les ports
standard seront considérés administrés (port 80 pour http et 443 pour https).
14.20.17 Configuration de CalDAV (stratégie d’appareil iOS)
La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda
avec un serveur CalDAV. Par exemple, il peut servir à synchroniser l’Agenda Google avec un appareil
iOS.
Paramètre
Description
Nom du compte
Le nom d’affichage du compte CalDAV sur
l’appareil.
Serveur
Le nom d’hôte ou l’adresse IP du serveur
CalDAV.
Port
Le numéro de port du serveur CalDAV.
Copyright © Sophos Limited
237
Sophos Mobile
Paramètre
Description
URL principale
Si requis par le serveur CalDAV, saisissez
l’URL principale des ressources de l’agenda.
Par exemple, pour synchroniser un autre
agenda que l’agenda principal d’un compte
Google, saisissez :
https://
apidata.googleusercontent.com/
caldav/
v2/calendar_id/user
où calendar_id correspond à l’identifiant
de l’agenda avec lequel vous voulez vous
synchroniser. Dans l’application Web de Google
Agenda, l’identifiant de l’agenda est affiché dans
les paramètres de l’agenda. Retrouvez plus de
renseignements dans l’Aide de Google Agenda.
Nom d’utilisateur, Mot de passe
Les codes d’accès au compte CalDAV.
Par exemple, pour Google Agenda, saisissez
les codes d’accès du compte Google.
SSL/TLS
La connexion au serveur CalDAV est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
Nous vous conseillons de sélectionner cette
option.
14.20.18 Configuration de CardDAV (stratégie d’appareil iOS)
La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts
avec un serveur CardDAV. Par exemple, il peut servir à synchroniser Google Contacts avec un
appareil iOS.
238
Paramètre
Description
Nom du compte
Le nom d’affichage du compte CardDAV sur
l’appareil.
Serveur
Le nom d’hôte ou l’adresse IP du serveur
CardDAV.
Port
Le numéro de port du serveur CardDAV.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
URL principale
Si requis par le serveur CardDAV, saisissez
l’URL principale des ressources de contacts.
Par exemple, l’API CardDAV de Google prend
en charge l’URL principale suivante :
https://www.googleapis.com/carddav/
v1/
principals/account_name@gmail.com
où account_name correspond au nom du
compte Google.
Nom d’utilisateur, Mot de passe
Les codes d’accès au compte CardDAV.
Par exemple, pour Google Contacts, saisissez
les codes d’accès du compte Google.
SSL/TLS
La connexion au serveur CardDAV est
sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
14.20.19 Configuration IMAP/POP (stratégie d’appareil iOS)
La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP.
Paramètre
Description
Nom du compte
Le nom d’affichage du compte de messagerie
sur l’appareil.
Type de compte
Le type de serveur de messagerie pour la
messagerie entrante (soit IMAP soit POP).
Nom d’utilisateur affiché
Le nom d’affichage de l’utilisateur pour la
messagerie sortante.
Utilisez la variable %_USERNAME_% pour
indiquer le nom de l’utilisateur assigné à
l’appareil.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Copyright © Sophos Limited
239
Sophos Mobile
Paramètre
Description
Autoriser les déplacements
L’utilisateur peut transférer ses emails de ce
compte vers un autre compte. Ceci permet
également d’empêcher l’utilisation d’un
autre compte pour répondre ou transférer un
message à partir de ce compte.
Autoriser la synchronisation d’adresses
récentes
Le compte est inclus dans la synchronisation
des adresses récemment utilisées avec d’autres
appareils à l’aide d’iCloud.
Utiliser uniquement dans les messages
Le compte peut uniquement être utilisé pour
envoyer des messages à partir de l’appli de
messagerie. Il ne peut pas être sélectionné
comme compte pour envoyer des messages
créés par d’autres apps comme par exemple
Photos ou Safari.
Autoriser Mail Drop
Autoriser Apple Mail Drop pour ce compte.
Activer S/MIME
Les utilisateurs peuvent envoyer et recevoir des
emails chiffrés avec un certificat S/MIME.
Certificat de signature
Les certificats utilisés pour la signature et le
chiffrement des emails.
Certificat de chiffrement
Vous devez télécharger un certificat avant de
pouvoir le sélectionner. Vous pouvez le faire
dans la configuration Certificat du client de la
stratégie en cours.
Autoriser l’utilisateur à envoyer des emails
chiffrés
Les utilisateurs peuvent choisir de chiffrer les
emails qu’ils envoient.
Messagerie entrante
240
Serveur
Le nom d’hôte ou l’adresse IP du serveur de
messagerie entrante (serveur entrant).
Port
Le numéro de port du serveur de messagerie
pour les messages entrants (serveur entrant).
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur entrant.
Type d’authentification
La méthode d’authentification pour la connexion
au serveur entrant.
Mot de passe
Le mot de passe pour la connexion au serveur
entrant (si nécessaire).
SSL/TLS
La connexion au serveur entrant est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Messagerie sortante
Serveur
Le nom d’hôte ou l’adresse IP du serveur de
messagerie sortante (serveur sortant).
Port
Le numéro de port du serveur de messagerie
pour les messages sortants (serveur sortant).
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur sortant.
Type d’authentification
La méthode d’authentification pour la connexion
au serveur sortant.
Mot de passe
Le mot de passe pour la connexion au serveur
sortant (si nécessaire).
Utiliser le même mot de passe que la
messagerie entrante
Utiliser le mot de passe indiqué pour la
messagerie entrante.
SSL/TLS
La connexion au serveur sortant est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
14.20.20 Configuration du compte Google (stratégie d’appareil
iOS)
La configuration Compte Google vous permet de créer un compte Google. Dès que la configuration
est assignée à l’appareil, l’utilisateur est invité à s’authentifier pour accéder au compte Google. Après
l’authentification, le compte Google est créé sur l’appareil et l’utilisateur peut activer les services
Google.
Paramètre
Description
Adresse électronique Google
L’adresse électronique du compte Google.
Description du compte
Une description facultative du compte. La
valeur est affichée dans les apps Messagerie et
Paramètres.
Nom d’utilisateur
Le nom d’utilisateur. La valeur est utilisée pour
les messages électroniques sortants.
Copyright © Sophos Limited
241
Sophos Mobile
14.20.21 Configuration de l’authentification unique (stratégie
d’appareil iOS)
La configuration Authentification unique vous permet de définir les paramètres d’une app à
authentification unique ou d’une app tierce.
Paramètre
Description
Nom
Un nom clair pour le compte.
Nom Kerberos principal
Le nom Kerberos principal.
Si vous ne remplissez pas ce champ,
l’utilisateur devra saisir son nom.
Royaume
Le nom du royaume Kerberos.
Veuillez saisir le nom en majuscules.
Adresses URL
Une liste des préfixes d’URL qui doivent
correspondre pour utiliser le compte pour
l’authentification Kerberos sur HTTP.
Les valeurs doivent commencer par http://
ou par https://
Si une valeur ne finit pas par /, la barre oblique
/ est ajoutée par Sophos Mobile.
Vous pouvez utiliser l’astérisque (*) pour trouver
des correspondances sur toutes les valeurs.
Par exemple, https://*.exemple.fr/
correspond à https://www.exemple.fr/ et à
https://m.exemple.fr/.
Identifiants de l’appli
Une liste de numéros d’ID de package d’apps.
Les valeurs doivent correspondre exactement
(par exemple ; com.sophos.smsec), ou être
des préfixes, utilisant des caractères .* à la
fin de la chaîne de caractères (par exemple ;
com.sophos.*).
14.20.22 Configuration AirPrint (stratégie d’appareil iOS)
La configuration AirPrint vous permet d’ajouter des imprimantes AirPrint à la liste d’imprimantes
AirPrint de l’utilisateur.
242
Paramètre
Description
Adresse IP
L’adresse IP de l’imprimante AirPrint.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Chemin des ressources
Le chemin des ressources associées à
l’imprimante.
Exemples :
•
imprimantes/<modèle imprimante>
•
ipp/print
Port
Le port d’écoute de l’imprimante AirPrint.
Forcer le TLS
Les connexions AirPrint sont sécurisées par
TLS.
14.20.23 Configuration du certificat racine (stratégie d’appareil
iOS)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.20.24 Configuration du certificat du client (stratégie
d’appareil iOS)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Copyright © Sophos Limited
243
Sophos Mobile
Paramètre
Description
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.20.25 Configuration SCEP (stratégie d’utilisateur iOS)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom du serveur CA
Un nom intelligible pour l’Autorité de
certification. Par exemple, le nom peut servir à
faire la distinction entre deux instances.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
244
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(SerialNumber)_%
pour un iPhone ou un iPad.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Type de l’autre nom de l’objet
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
Valeur de l’autre nom de l’objet
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Nouvelles tentatives
Le nombre de nouvelles tentatives si le serveur
envoie une réponse en attente.
Délai avant la nouvelle tentative
Le nombre de secondes écoulées entre les
nouvelles tentatives.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.20.26 Certificat d’appareil Duo (stratégie d’appareil iOS)
La configuration Certificat d’appareil Duo vous permet d’autoriser les appareils à demander un
certificat au serveur SCEP Duo Security. Si ce certificat est installé sur un appareil, l’appli iOS Duo
Mobile considère l’appareil comme fiable.
Copyright © Sophos Limited
245
Sophos Mobile
Les paramètres nécessaires sont communs à tous les comptes Duo Security. Veuillez ne pas
modifier les valeurs prédéfinies.
14.21 Configuration des stratégies de conteneur
Sophos pour iOS
Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure
Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur
Sophos.
14.21.1 Configuration Généralités (stratégie de conteneur
Sophos pour iOS)
La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps
du conteneur Sophos si applicable.
Paramètre
Description
Activer le mot de passe du conteneur
Sophos
Les utilisateurs doivent saisir un mot de passe
supplémentaire pour pouvoir démarrer une
app du conteneur Sophos. Le mot de passe
doit être défini lorsque la première app du
conteneur est démarrée suite à l’application de
la configuration. Ce mot de passe s’applique à
toutes les apps du conteneur.
Complexité du mot de passe
La complexité minimale requise pour le mot de
passe du conteneur Sophos. Les mots de passe
très sécurisés sont toujours autorisés. Les
mots de passe (une combinaison de caractères
numériques et alphanumériques) sont toujours
considérés comme étant plus sûrs que les
codes PIN (caractères numériques uniquement.
Toujours masquer les caractères dans les
champs de saisie du mot de passe
246
•
Toutes : les mots de passe du conteneur
Sophos n’ont pas de restrictions.
•
Code PIN à 4 chiffres
•
Code PIN à 6 chiffres
•
Mot de passe à 4 caractères
•
Mot de passe à 6 caractères
•
Mot de passe à 8 caractères
•
Mot de passe à 10 caractères
Les caractères utilisés dans les champs de
saisie du mot de passe ne sont pas affichés
temporairement lors de la saisie.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Durée de validité du mot de passe en jours
Le nombre de jours pendant lesquels un mot de
passe peut être utilisé avant que les utilisateurs
ne soient invités à le changer.
Tentatives ratées de connexion avant
verrouillage
Le nombre de tentatives ratées de connexion
autorisées avant verrouillage des apps du
conteneur. Une fois qu’elles sont verrouillées,
un administrateur devra les déverrouiller ou,
s’ils sont autorisés, les utilisateurs pourront
utiliser le Sophos Mobile Self Service Portal
pour effectuer cette opération.
Autoriser l’empreinte digitale
L’utilisateur peut utiliser son empreinte digitale
pour déverrouiller l’app.
Délai de grâce en minutes
La période de temps pendant laquelle aucun
mot de passe du conteneur Sophos ne doit être
saisi lorsque l’app du conteneur est de nouveau
amenée au premier plan.
Ce délai de grâce s’applique à toutes les apps
du conteneur. Vous pouvez passer d’une app à
une autre pendant le délai de grâce sans avoir à
saisir de mot de passe.
Copyright © Sophos Limited
247
Sophos Mobile
Paramètre
Description
Dernière connexion au serveur
La période de temps pendant laquelle les
utilisateurs peuvent utiliser une app du
conteneur Sophos sans avoir à se connecter au
serveur Sophos Mobile.
Lorsque une app du conteneur Sophos est
activée et n’est pas en contact avec le serveur
pendant la période de temps définie, un écran
de verrouillage apparaît. Les utilisateurs
peuvent uniquement déverrouiller l’app en
appuyant sur Réessayer sur l’écran de
verrouillage. L’app essaiera de se connecter au
serveur. Si la connexion peut être établie, l’app
est déverrouillée. En cas contraire, l’accès est
refusé.
248
•
Sur accès : la connexion au serveur est toujours
requise et l’app est verrouillée lorsque le serveur
n’est pas joignable.
•
1 heure : la connexion au serveur est requise
lorsque l’app est active pendant au moins une
heure après la dernière connexion réussie au
serveur.
•
3 heures
•
6 heures
•
12 heures
•
1 jour
•
3 jours
•
3 jours
•
Aucune : aucun contact régulier n’est requis.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Accès hors ligne sans connexion au serveur
Ce champ vous permet de définir la fréquence à
laquelle les utilisateurs peuvent démarrer l’une
des apps du conteneur Sophos sans nécessiter
de connexion au serveur.
Remarque
Ce paramètre nécessite l’activation de la
fonction de mot de passe du conteneur
Sophos.
Un compteur est mis à jour à chaque fois qu’un
utilisateur saisit le mot de passe du conteneur
Sophos. Si le compteur dépasse le nombre
fixé, le même écran de verrouillage que celui
utilisé pour le paramètre Dernière connexion
au serveur apparaît. Le compteur est réinitialisé
si une connexion au serveur Sophos Mobile est
établie.
Débridage (jailbreak) autorisé
•
Illimité : aucune connexion au serveur n’est
requise.
•
0 : une connexion au serveur est requise pour
démarrer l’app.
•
1 : après un démarrage de l’app, la connexion au
serveur est nécessaire.
•
3
•
5
•
10
•
20
L’exécution des apps de conteneur est
autorisée sur les appareils débridés.
Contraintes d’utilisation des apps
Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur
Ajouter pour saisir les contraintes.
Géorepérage
Vous permet d’ajouter la latitude et la longitude
ainsi qu’un rayon d’utilisation des apps du
conteneur Sophos.
Limite de temps
Vous permet d’indiquer une période de temps à
laquelle les apps du conteneur Sophos peuvent
être utilisées en précisant une heure de début
et une heure de fin. Il est également possible
d’indiquer les jours de la semaine auxquels les
apps peuvent être utilisées.
Copyright © Sophos Limited
249
Sophos Mobile
Paramètre
Description
Périmètre de connexion Wi-Fi
Si vous sélectionnez Connexion Wi-Fi
obligatoire, le conteneur Sophos est verrouillé
lorsqu’aucune connexion Wi-Fi n’est activée.
Si vous ajoutez des réseaux Wi-Fi à la liste,
le conteneur Sophos est verrouillé lorsque
l’appareil est connecté au réseau Wi-Fi non
répertorié.
Attention
nous vous déconseillons d’utiliser uniquement le
périmètre de connexion Wi-Fi pour assurer votre
sécurité. En effet, les identités Wi-Fi peuvent très
facilement être usurpées.
14.21.2 Email professionnel (stratégie de conteneur Sophos
pour iOS)
La configuration Email professionnel vous permet de définir les paramètres de l’utilisateur pour votre
serveur Microsoft Exchange. Ces paramètres sont appliqués à l’appli Sophos Secure Email si elle est
installée dans le conteneur Sophos.
Compte de messagerie principal
Paramètre
Description
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Les utilisateurs doivent saisir le mot de passe
du compte sur leurs appareils.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
250
Domaine
Le domaine de ce compte.
Email du support
L’adresse électronique qui sera utilisée pour
contacter le support.
Copyright © Sophos Limited
Sophos Mobile
Comptes gérés
En plus du compte de messagerie principal, vous pouvez ajouter jusqu’à deux comptes, appelés
Comptes gérés à Sophos Secure Email.
Veuillez remarquer que :
•
Lorsque vous configurez des comptes gérés, les utilisateurs ne peuvent pas ajouter de comptes
manuellement. Ils peuvent utiliser les comptes qu’ils ont ajoutés avant que la stratégie ne soit
assignée.
•
S’il existe un compte avec la même adresse e-mail, il est converti en compte géré.
Paramètres de messagerie électronique
Paramètre
Description
Utiliser les champs de texte sécurisés
Le contenu des champs d’entrée est sécurisé.
Le remplissage et la correction automatiques
sont désactivés dans l’appli Sophos Secure
Email pour empêcher la mémorisation de tous
mots à caractère confidentiel sur l’appareil.
Autoriser le contenu extérieur
Les utilisateurs peuvent charger du contenu de
messagerie externe comme des images.
Taille maximale autorisée pour l’email
Les messages de taille supérieure à celle
que vous sélectionnez (notamment les pièces
jointes) ne sont pas récupérés à partir du
serveur Exchange.
Notifications
Le type de notification pour le nouvel email :
•
Système : les notifications sont
administrées par iOS. Elles n’incluent pas
d’informations sur l’expéditeur ou sur l’objet.
•
Appli : les notifications sont administrées
par l’appli Sophos Secure Email. Lorsque
l’appli ne fonctionne pas, aucune notification
n’est affichée.
•
Aucune : aucune notification n’est affichée.
Ce paramètre affecte également les rappels
d’événements :
Copyright © Sophos Limited
•
Système, Aucune : les rappels
d’événements incluent uniquement la date.
•
Appli : les rappels d’événements incluent la
date, l’emplacement et le titre.
251
Sophos Mobile
Paramètre
Description
Contenu
Le type d’informations affiché dans une
notification.
Ce paramètre est uniquement disponible si
vous sélectionnez Appli dans Notifications.
Signature par défaut
La signature par défaut de l’e-mail.
Serveur EWS
L’URL de votre serveur EWS (Exchange Web
Services).
Si vous laissez ce champ vide, Sophos Secure
Email utilise l’URL que vous avez configurée
dans Serveur Exchange.
Fonctions
Paramètre
Description
Synchroniser les tâches et notes Outlook
Les utilisateurs peuvent afficher leurs tâches et
notes Outlook dans Sophos Secure Email.
Les utilisateurs peuvent également créer,
modifier et supprimer des tâches et des notes
par défaut. Pour désactiver cette fonction,
sélectionnez Les tâches et notes sont en
lecture seule.
Les tâches et notes sont en lecture seule
Les utilisateurs ne peuvent pas créer, modifier
ou supprimer des tâches et des notes Outlook
dans Sophos Secure Email.
Identification d’appel
Les coordonnées des contacts dans Sophos
Secure Email peuvent être utilisées pour
identifier les appels reçus sans avoir à exporter
les contacts Sophos Secure Email dans les
contacts de l’appareil.
Pour utiliser cette fonction, les utilisateurs
doivent activer les paramètres suivants sur leur
appareil :
252
•
Dans l’appli Paramètres : Téléphone > Blocage et
identification d’appels > Email
•
Dans l’appli Sophos Secure Email : Paramètres >
Contacts > Identification d’appels
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Exporter les contacts sur l’appareil
Les utilisateurs sont autorisés à exporter les
contacts Exchange dans les contacts locaux de
l’appareil afin de pouvoir identifier les appels de
leurs contacts professionnels.
Sophos Secure Email synchronise en
permanence les coordonnées.
Remarque
Les coordonnées des contacts locaux sont
automatiquement supprimées dans les cas
de figure suivants :
•
La configuration de la Messagerie
professionnelle est supprimée de
la stratégie de conteneur Sophos
(nécessite le redémarrage de l’appli
Sophos Secure Email).
•
Le conteneur Sophos est supprimé de
l’appareil.
•
Lorsque l’appareil est désinscrit de
Sophos Mobile.
Protection des données
Paramètre
Description
Refuser la copie dans le presse-papiers
Les utilisateurs ne peuvent pas copier ou
couper le texte à partir de l’appli Sophos Secure
Email.
Ouvrir les pièces jointes
Dans toutes les applis : les pièces jointes
peuvent être ouvertes dans toutes les applis
compatibles avec le format du fichier.
Dans les applis du conteneur : Les pièces
jointes sont chiffrées avec une clé de l’appareil
et peuvent uniquement être ouvertes dans
Sophos Secure Workspace. L’action Ouvrir
dans n’est pas bloquée.
Copyright © Sophos Limited
253
Sophos Mobile
S/MIME
Paramètre
Description
Utiliser la liste des CA système
Pour les emails chiffrés entrants, Sophos
Secure Email utilise la liste des autorités de
certification (CA) fournie par iOS ou iPadOS
pour valider la chaîne de confiance du certificat.
Si vous désactivez ce paramètre, tous les
certificats de la chaîne de confiance doivent être
disponibles sur l’appareil.
Chiffrer par défaut
Si le certificat S/MIME du destinataire est
disponible, les emails sont envoyés chiffrés.
Signer par défaut
Les emails sortants sont signés par défaut avec
le certificat S/MIME d’un utilisateur.
Les utilisateurs peuvent modifier la valeur par
défaut dans les paramètres Sophos Secure
Email ou envoyer des messages individuels non
signés.
Autoriser le chiffrement S/MIME
Les utilisateurs peuvent envoyer et recevoir des
emails chiffrés avec un certificat S/MIME.
Autoriser la signature S/MIME
Les utilisateurs peuvent signer des emails
si leur certificat S/MIME est disponible sur
l’appareil.
OAuth 2.0
Avec ces paramètres, vous configurez Sophos Secure Email pour que les utilisateurs accèdent à
leurs comptes Exchange via la procédure de connexion Office 365 de votre organisation.
Paramètre
Description
Activer OAuth 2.0
Activez l’authentification Office 365.
Terminal d’autorisation
Le terminal (ou point de terminaison)
d’autorisation OAuth de votre application dans
Microsoft Azure.
Saisissez la valeur affichée dans le
portail Azure sous Point de terminaison
d’autorisation OAuth 2.0.
Client ID
L’ID de votre application dans Microsoft Azure.
Saisissez la valeur affichée dans le portail
Azure sous ID d’application (client).
254
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Redirection URI
L’emplacement utilisé par l’API Office 365 pour
les réponses d’authentification.
Saisissez le texte suivant :
sophos://sse/auth
Terminal token
Le terminal (ou point de terminaison) de jeton
OAuth de votre application dans Microsoft
Azure.
Saisissez la valeur affichée dans le portail
Azure sous Point de terminaison de jeton
OAuth 2.0.
Paramètres supplémentaires
Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande.
Tâches connexes
Configurer l’authentification multifacteur pour Sophos Secure Email (page 422)
Une fois l’authentification multifacteur (MFA) configurée pour Sophos Secure Email, les utilisateurs
accèdent à leurs comptes Exchange via la page d’ouverture de session Office 365 de votre entreprise.
14.21.3 Documents professionnels (stratégie de conteneur
Sophos pour iOS)
La configuration Documents professionnels vous permet de gérer le fournisseur de stockage
Documents professionnels de Sophos Secure Workspace.
Configurer les fournisseurs de stockage
Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :
Paramètre
Description
Activer
Le fournisseur de stockage est disponible dans
l’app.
Hors ligne
Les utilisateurs sont autorisés à ajouter des
fichiers provenant du fournisseur de stockage à
la liste des Favoris de l’app pour une utilisation
hors ligne.
Ouvrir avec (chiffré)
Les utilisateurs peuvent partager les fichiers
chiffrés avec d’autres apps via la fonction
Ouvrir avec.
Copyright © Sophos Limited
255
Sophos Mobile
Paramètre
Description
Ouvrir avec (déchiffré)
Les utilisateurs peuvent partager les fichiers
déchiffrés avec d’autres apps via la fonction
Ouvrir avec.
Presse-papiers
Les utilisateurs peuvent copier des parties d’un
document et les copier dans d’autres apps.
Paramètres du fournisseur d’entreprise
Pour le fournisseur Egnyte ou WebDAV, également appelé le fournisseur d’entreprise, vous pouvez
définir les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci
ne peuvent pas être changés par les utilisateurs.
Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être
choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app.
Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière
centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront
connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage.
Paramètre
Description
Nom
Le nom du fournisseur qui s’affiche dans l’app
Sophos Secure Workspace.
Serveur
Dans ce champ, saisissez :
•
L’URL du dossier racine sur le serveur
WebDAV Documents professionnels.
•
L’URL du dossier racine sur le serveur
Egnyte.
•
L’URL du dossier racine sur le serveur
WebDAV.
Veuillez utiliser le format suivant : https://
serveur.entreprise.com
256
Nom d’utilisateur
Le nom d’utilisateur pour le serveur. Vous
pouvez également utiliser la variable
%_USERNAME_%.
Mot de passe
Le mot de passe du compte.
Dossier de téléchargement
Le dossier de téléchargement du compte.
Copyright © Sophos Limited
Sophos Mobile
Autres paramètres
Paramètre
Description
Activer les documents
Cette option active la fonction Documents
permettant de distribuer en toute sécurité les
documents d’entreprise.
Complexité de la phrase secrète
La complexité minimale requise pour les
phrases secrètes des clés de chiffrement. Les
phrases secrètes très sécurisées sont toujours
autorisées.
Vous pouvez sélectionner les paramètres
suivants :
Paramètres supplémentaires
•
Mot de passe à 4 caractères
•
Mot de passe à 6 caractères
•
Mot de passe à 8 caractères
•
Mot de passe à 10 caractères
Veuillez uniquement configurer ces paramètres
si l’équipe du support Sophos vous le demande.
14.21.4 Navigateur professionnel (stratégie de conteneur
Sophos pour iOS)
La configuration Navigateur professionnel vous permet de gérer la fonction Navigateur
professionnel de Sophos Secure Workspace.
Le navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de
l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris
d’un domaine.
Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de
domaine est créée automatiquement si elle n’existe pas.
Paramètres du domaine
Paramètre
Description
URL
Le domaine que vous souhaitez autoriser.
Autoriser la fonction copier/coller
Les utilisateurs peuvent copier/coller du texte à
partir du navigateur professionnel vers d’autres
applis.
Copyright © Sophos Limited
257
Sophos Mobile
Paramètre
Description
Autoriser Ouvrir avec
Les utilisateurs peuvent ouvrir des fichiers
téléchargés dans d’autres applis.
Si vous désactivez ce paramètre, les utilisateurs
peuvent toujours télécharger des fichiers que
Sophos Secure Workspace peut ouvrir.
Le navigateur professionnel stocke les fichiers
téléchargés dans le Stockage sécurisé. Le
paramètre Autoriser Ouvrir avec a priorité sur
les paramètres de Stockage sécurisé dans une
configuration Documents professionnels.
Autoriser l’enregistrement du mot de passe
Les utilisateurs peuvent enregistrer leurs mots
de passe dans le navigateur professionnel.
Paramètres de favoris
Paramètre
Description
Nom
Le nom du favori.
URL
L’adresse Web du favori.
14.21.5 Configuration du Certificat racine (stratégie de
conteneur Sophos pour iOS)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce
certificat est à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont
installées dans le conteneur Sophos.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
258
Copyright © Sophos Limited
Sophos Mobile
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.21.6 Configuration du certificat du client (stratégie de
conteneur Sophos pour iOS)
La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce
certificat est à disposition de l’app Sophos Secure Workspace si cette dernière est installée dans le
conteneur Sophos.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.21.7 Configuration SCEP (stratégie de conteneur Sophos
pour iOS)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont
disponibles pour la fonction Navigateur professionnel de Sophos Secure Workspace.
Remarque
Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de
l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP.
Copyright © Sophos Limited
259
Sophos Mobile
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom d’alias
Le nom sous lequel le certificat va apparaître
dans les boîtes de dialogue de sélection.
Il doit s’agir d’un nom facile à mémoriser pour
identifier le certificat. Par exemple, utilisez la
même valeur que dans le champ Objet mais
sans le préfixe CN=.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Type de l’autre nom de l’objet
Valeur de l’autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(SerialNumber)_%
pour un iPhone ou un iPad.
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
260
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.22 Configuration des stratégies Mobile Threat
Defense pour iOS
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
14.22.1 Configuration réseau (stratégie Mobile Threat Defense
pour iOS)
La configuration Réseau vous permet de gérer la fonction de sécurité Wi-Fi de Sophos Intercept X for
Mobile. Les utilisateurs sont ainsi protégés contre les menaces réseau.
Remarque
Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans
Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier.
Paramètre
Description
Protection contre le « Man-in-themiddle » (intercepteur)
Sophos Intercept X for Mobile vérifie la
connexion Wi-Fi à la recherche d’attaques
(« man-in-the-middle »).
Sophos Mobile crée une alerte lorsqu’une
attaque d’interception (« man-in-the-middle »)
est détectée.
Copyright © Sophos Limited
261
Sophos Mobile
Paramètre
Description
Paramètres supplémentaires
Veuillez uniquement configurer ces paramètres
si l’équipe du support Sophos vous le demande.
14.22.2 Configuration du filtrage Web (stratégie Mobile Threat
Defense pour iOS)
La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de Sophos Intercept X
for Mobile. Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants ou au
contenu indésirable ou illégal. Cette configuration affecte uniquement les appareils supervisés.
Attention
Le filtrage Web bloque tous les sites Web si un appareil ne peut pas se connecter au service de
classification des sites Web Sophos https://4.sophosxl.net/lookup.
Conseil
Pour tester le filtrage de sites Web, Sophos a créé le site sophostest.com qui contient des
exemples de page pour chaque catégorie. Même si certaines de ces pages sont classées comme
potentiellement offensantes ou dangereuses, leur contenu est sans danger dans tous les cas.
Lorsque vous activez le filtrage Web, Sophos Mobile bloque toujours les pages Web classées
comme activités criminelles hautement répréhensibles, telles que la pornographie juvénile. Pour
empêcher d’autres personnes d’accéder à ces pages, Sophos Mobile masque les URL dans les
journaux, les événements et les rapports.
Paramètres
Paramètre
Description
Filtrer les sites Web malveillants
Sélectionnez si les utilisateurs sont autorisés à
accéder à des sites Web au contenu malveillant.
Créer des alertes
Sélectionnez si une alerte va être générée
lorsque l’utilisateur tente d’accéder à un site
Web filtré.
Vous pouvez également choisir de créer des
alertes uniquement pour les blocages ou pour
les avertissements.
Filtrer les sites Web par catégorie
Sélectionnez si les utilisateurs peuvent accéder
à certains types de sites Web.
Les sites Web sont classés par catégorie
en fonction des données collectées par les
SophosLabs. Ces données sont constamment
mises à jour.
262
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Exceptions de site Web
Configurer les exceptions aux filtres de
catégories :
Domaines autorisés : Sites Web autorisés
même s’ils appartiennent à une catégorie
bloquée.
Domaines bloqués : Sites Web bloqués même
s’ils appartiennent à une catégorie autorisée.
Comment indiquer des exceptions de site Web
Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne
(sans séparateur) :
•
Adresse IPv4 ou IPv6
203.0.113.0
2001:db8:85a3:0:0:8a2e:370:7334
•
Sous-réseau IPv4 ou IPv6
203.0.113.0/24
2001:db8::/32
•
Domaine
www.example.com
•
Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le
caractère situé le plus à gauche.
*.example.com
*example.com
Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer
tous les sites Web.
Logique de filtrage
Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est
prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par
rapport aux listes définies par l’utilisateur.
Les règles de filtrage sont appliquées dans l’ordre suivant :
1. Si le site Web est inclus dans Domaines autorisés, il est autorisé.
2. Si le site Web est inclus dans Domaines bloqués, il est bloqué.
3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé.
4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué.
5. Le site Web est autorisé ou bloqué en fonction de sa catégorie.
Copyright © Sophos Limited
263
Sophos Mobile
14.22.3 Configuration Filtrage SMS (stratégie Mobile Threat
Defense pour iOS)
La configuration Filtrage SMS vous permet de définir les noms de domaine pour la fonction de Filtrage
des SMS de Sophos Intercept X for Mobile.
Le Filtrage SMS protège les utilisateurs contre les attaques par SMS et MMS. Il déplace tous les
messages, à l’exception de ceux provenant d’expéditeurs se trouvant dans les Contacts, contenant
un faux nom de domaine dans le dossier SMS indésirable.
Un faux domaine ressemble à votre domaine mais avec de légères différences :
•
Des caractères peuvent être remplacés, insérés ou transposés.
•
Le nom de domaine est modifié par l’ajout d’un préfixe ou d’un suffixe.
•
Le domaine de premier niveau est différent.
Par exemple, si votre domaine réel est sophos.com, les domaines suivants sont des faux :
•
s0phos.com (remplacement)
•
soophos.com (insertion)
•
sohpos.com (transposition)
•
mysophos.com (préfixe)
•
sophos.net (domaine de premier niveau différent)
Les sous-domaines comme hr.sophos.com ne sont pas filtrés.
Si un message SMS est filtré, tous les autres messages du même expéditeur sont également filtrés.
14.23 Configuration des stratégies d’appareil
macOS
Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront
à tous les utilisateurs.
Concepts connexes
À propos des stratégies macOS (page 115)
Configuration des stratégies d’utilisateur macOS (page 285)
264
Copyright © Sophos Limited
Sophos Mobile
Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui
s’appliqueront à tous les utilisateurs gérés par Sophos Mobile.
14.23.1 Configuration des stratégies de mot de passe (stratégie
d’appareil macOS)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour
les mots de passe des comptes d’utilisateur Mac.
Remarque
Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de
grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer
son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité
en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur
l’appareil, même les applis internes.
Paramètre
Description
Accepter les valeurs simples
Les utilisateurs sont autorisés à utiliser des
caractères séquentiels ou répétés dans leur mot
de passe (par exemple 1111 ou abcde).
Exiger des valeurs alphanumériques
Les mots de passe doivent contenir au moins
une lettre ou un chiffre.
Longueur minimum du mot de passe
Indique le nombre minimum de caractères
qu’un mot de passe doit contenir.
Nombre minimum de caractères complexes
Indique le nombre minimum de caractères non
alphanumériques (par exemple & ou !) qu’un
mot de passe doit contenir.
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Verrouillage automatique maximal (en
minutes)
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer sur
l’appareil. Le verrouillage automatique indique
au bout de combien de temps (en minutes)
l’appareil doit être verrouillé lorsqu’il n’est pas
utilisé.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Copyright © Sophos Limited
265
Sophos Mobile
Paramètre
Description
Délai de grâce maximal avant verrouillage de
l’appareil
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer
sur l’appareil. Le délai de grâce avant
le verrouillage de l’appareil vous permet
d’indiquer pendant combien de temps
l’appareil peut être déverrouillé suite à un
verrouillage sans demande de mot de passe.
Si vous sélectionnez Aucun, l’utilisateur peut
sélectionner l’un des intervalles disponibles.
Si vous sélectionnez Immédiatement, les
utilisateurs doivent saisir un mot de passe à
chaque fois qu’ils déverrouillent leur appareil.
Nombre de tentatives ratées avant
réinitialisation de l’appareil
Ce champ vous permet d’indiquer le nombre
de tentatives ratées de saisie du mot de
passe qu’il est possible d’effectuer avant que
l’appareil soit réinitialisé. Après six tentatives
ratées, l’utilisateur doit attendre pendant un
moment avant de pouvoir saisir de nouveau
un mot de passe. Le délai d’attente augmente
à chaque tentative ratée. Suite à l’échec de la
dernière tentative, toutes les données et les
paramètres sont supprimés de l’appareil. Le
délai d’attente commence à la sixième tentative.
Par conséquent, si vous définissez cette valeur
sur 6 ou sur une valeur inférieure, il n’y a
aucun délai d’attente et l’appareil est réinitialisé
lorsque la limite des tentatives autorisées est
dépassée.
14.23.2 Configuration des restrictions (stratégie d’appareil
macOS)
La configuration Restrictions vous permet de définir les restrictions pour les Macs.
Remarque
Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué
par des étiquettes bleues dans Sophos Mobile Admin.
266
Copyright © Sophos Limited
Sophos Mobile
Appareil
Paramètre
Description
Autoriser l’utilisation de l’appareil photo
Si cette case est dessélectionnée, l’appareil
photo n’est plus disponible et l’icône de
l’Appareil photo disparaît de l’écran d’Accueil.
L’utilisateur ne peut pas prendre de photos,
enregistrer de vidéos ou utiliser FaceTime.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la recherche sur Internet pour
Spotlight
Si cette case est dessélectionnée, Spotlight
ne fournit plus de résultats de recherche sur
Internet.
Autoriser Apple Music
L’utilisateur peut accéder à la bibliothèque
Apple Music.
Délai de mise à jour du logiciel macOS
Le nombre de jours de délais du logiciel macOS
après sa date de sortie.
Saisir une valeur entre 0 (aucun délai) et 90.
iCloud
Paramètre
Description
Autoriser la sauvegarde
Les utilisateurs peuvent sauvegarder leurs
appareils dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la bibliothèque de photos iCloud
Les utilisateurs peuvent utiliser la Bibliothèque
de photos iCloud.
Autoriser la synchronisation du trousseau
iCloud
Les utilisateurs peuvent se servir du Trousseau
iCloud pour synchroniser les mots de passe sur
leurs iPhones, iPads et Macs.
Si la case n’est pas sélectionnée, les données
du Trousseau iCloud sont uniquement stockées
localement sur l’appareil.
Copyright © Sophos Limited
267
Sophos Mobile
Paramètre
Description
Autoriser la synchronisation des documents
Les utilisateurs peuvent conserver les
documents et les données de configuration des
apps dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
268
Autoriser Accès à mon Mac
Les utilisateurs peuvent utiliser Accès à mon
Mac iCloud, c’est-à-dire le partage de fichiers et
d’écran entre un Mac distant et local.
Autoriser Localiser mon Mac
Les utilisateurs peuvent utiliser Localiser mon
Mac iCloud pour rechercher, verrouiller ou
réinitialiser leur Mac à distance.
Autoriser les favoris iCloud
Les utilisateurs peuvent utiliser les Favoris
iCloud pour synchroniser les favoris Web entre
les navigateurs et les plates-formes.
Autoriser la messagerie iCloud
Les utilisateurs peuvent créer un compte
Messagerie iCloud sur leur Mac.
Autoriser le calendrier iCloud
Les utilisateurs peuvent se servir du Calendrier
iCloud pour partager leurs calendriers avec
tous leurs appareils et avec d’autres utilisateurs
d’iCloud.
Autoriser les rappels iCloud
Les utilisateurs peuvent se servir des Rappels
iCloud pour partager leurs listes de rappels avec
tous leurs appareils et avec d’autres utilisateurs
d’iCloud.
Autoriser le carnet d’adresses iCloud
Les utilisateurs peuvent se servir du Carnet
d’adresses iCloud pour partager leurs contacts
avec tous leurs appareils et avec d’autres
utilisateurs d’iCloud.
Autoriser les notes iCloud
Les utilisateurs peuvent se servir des Notes
iCloud pour partager leurs notes avec tous leurs
appareils et avec d’autres utilisateurs.
Autoriser iCloud Drive pour le Bureau et les
documents
Les utilisateurs peuvent stocker leur poste de
travail Mac et leur dossier Documents dans
iCloud Drive et y accéder à partir d’autres
appareils.
Copyright © Sophos Limited
Sophos Mobile
Sécurité et confidentialité
Paramètre
Description
Autoriser Touch ID et Face ID à déverrouiller
l’appareil
Si cette case n’est pas sélectionnée, l’appareil
ne peut pas être déverrouillé par authentification
biométrique.
Autoriser la recherche de définition
Les utilisateurs peuvent rechercher les
définitions des mots surlignés.
Autoriser le déverrouillage automatique
Les utilisateurs peuvent se servir du
Déverrouillage automatique pour déverrouiller
automatiquement leur Mac à l’aide de leur Apple
Watch.
Autoriser le partage de fichiers iTunes
Les utilisateurs peuvent se servir du Partage de
fichiers dans iTunes pour copier les fichiers sur
leur Mac et sur leur iPhone ou iPad.
Autoriser AirPrint
Les utilisateurs peuvent envoyer des fichiers sur
des imprimantes AirPrint.
Autoriser la recherche iBeacon
d’imprimantes AirPrint
L’appareil utilise iBeacon pour rechercher les
appareils AirPrint.
Attention
Si vous autorisez ceci, les appareils AirPrint
malveillants peuvent lancer des attaques de
phishing sur le trafic réseau.
Forcer les certificats approuvés pour
AirPrint sur TLS
AirPrint sur TLS est rejeté si l’appareil AirPrint
utilise un certificat non approuvé.
Autoriser le remplissage automatique à la
saisie du mot de passe
L’utilisateur peut activer le paramètre
Remplissage automatique des mots de
passe qui lui permet d’utiliser le mot de passe
ou les coordonnées de la carte de paiement
enregistrés dans Safari ou dans d’autres apps.
Si la case n’est pas sélectionnée, la suggestion
automatique de mots de passe complexes est
également désactivée.
Demander les mots de passe Wi-Fi à partir
d’appareils à proximité
L’appareil demande les mots de passe à partir
d’appareils se trouvant à proximité lors de la
configuration d’une connexion Wi-Fi.
Autoriser le partage de mots de passe
AirDrop
L’utilisateur peut partager les mots de passe
dans le Gestionnaire des mots de passe avec
d’autres utilisateurs avec AirDrop.
Copyright © Sophos Limited
269
Sophos Mobile
14.23.3 Configuration Wi-Fi (stratégie d’appareil macOS)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
Le nom du réseau Wi-Fi.
Connexion automatique
Se connecter automatiquement au réseau Wi-Fi
s’il est disponible.
Réseau masqué
Le réseau Wi-Fi ne diffuse pas son SSID.
Désactiver l’adresse du domicile
Rejoindre le réseau avec l’adresse MAC
matérielle de l’appareil plutôt qu’avec l’adresse
réseau spécifique créée par iOS.
Ce paramètre réduit la confidentialité de la
connexion. Veuillez uniquement l’utiliser si
l’appareil doit s’identifier avec la même adresse
MAC sur vos réseaux.
Notez que l’intégration du contrôle d’accès
réseau (NAC) à un système NAC tiers ne
fonctionne pas pour les appareils qui utilisent
une adresse MAC privée. Le système NAC
ne connaît que l’adresse privée d’un appareil,
alors que Sophos Mobile connaît uniquement
l’adresse matérielle.
Type de sécurité
Le type de sécurité du réseau Wi-Fi.
Mot de passe
Le mot de passe du réseau Wi-Fi.
Cette option est disponible lorsque vous avez
sélectionné un type de sécurité personnelle.
Protocoles
Les paramètres du protocole d’authentification.
•
Types d’EAP acceptés : Les types EAP que
l’appareil accepte pour l’authentification.
•
EAP-FAST : Pour EAP-FAST, vous pouvez
configurer un PAC (Protected Access Credential).
•
Identité interne : Protocole pour l’authentification
des utilisateurs par tunnel (pour TTLS).
•
Version TLS minimale, Version TLS maximale :
Les versions TLS minimales et maximales
du protocole TLS que l’appareil accepte pour
l’authentification EAP.
Protocoles est disponible lorsque vous avez
sélectionné un type de sécurité professionnelle.
270
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Authentification
Les paramètres d’authentification du client.
•
Utilisateur : Le nom d’utilisateur pour la connexion
au réseau Wi-Fi.
•
Demander le mot de passe à chaque
connexion : Sélectionnez cette option pour
envoyer le mot de passe à chaque authentification.
•
Mot de passe : Le mot de passe du réseau Wi-Fi.
•
Certificat d’identité : Le certificat pour la
connexion au réseau Wi-Fi. Avant de pouvoir
sélectionner un certificat, vous devez l’ajouter à
la stratégie avec une configuration Certificat du
client.
•
Identité externe : L’identifiant externe visible (pour
TTLS, PEAP et EAP-FAST).
Authentification est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Certificats approuvés
Le certificat du serveur.
Avant de pouvoir sélectionner un certificat,
vous devez l’ajouter à la stratégie avec une
configuration Certificat racine.
Certificats approuvés est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
Copyright © Sophos Limited
271
Sophos Mobile
14.23.4 Configuration du contrôleur d’accès (stratégie d’appareil
macOS)
La configuration Contrôleur d’accès vous permet de configurer le contrôleur d’accès macOS qui
bloque les apps installées à partir de sources interdites.
Paramètre
Description
Autoriser les applis téléchargées depuis
Sélectionnez le paramètre requis :
•
Tous les emplacements : les utilisateurs
peuvent ouvrir toutes les apps, quel que soit
leur emplacement d’installation.
•
Mac App Store : les utilisateurs peuvent
uniquement ouvrir les apps à partir de l’App
Store de Mac.
•
Mac App Store et les développeurs
identifiés : les utilisateurs peuvent
uniquement ouvrir les apps à partir de l’App
Store de Mac ou à partir de développeurs
authentifiés, c’est-à-dire des développeurs
certifiés par Apple.
14.23.5 Configuration Stratégie d’extension du noyau
(stratégie d’appareil macOS)
La configuration Stratégie d’extension du noyau vous permet d’approuver ou de bloquer certaines
extensions de noyau tierces (KEXTs). Sans cette configuration, macOS demande l’autorisation de
l’utilisateur lorsqu’une app veut installer une extension de noyau.
Remarque
Les utilisateurs doivent accepter la stratégie. Ceci ne s’applique pas aux appareils gérés avec
Apple Business Manager.
Paramètre
Description
Autoriser les extensions approuvés par
l’utilisateur
Lorsqu’une app veut installer une extension
de noyau qui n’a pas été approuvée par cette
configuration, macOS demande à l’utilisateur de
l’approuver.
Si la case à cocher est dessélectionnée, les
extensions qui ne sont pas approuvées par
cette configuration sont bloquées.
Approuver les extensions Sophos
272
Les extensions de noyau Sophos sont
approuvées.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Team IDs approuvés
Une liste des valeurs Team ID.
Les extensions de noyau signées par un de ces
identifiants sont approuvées.
Pour retrouver le Team ID d’une extension de noyau, installez-le sur un Mac dans votre
environnement de test. Puis, saisissez les deux commandes suivantes dans Terminal :
sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy
SELECT * FROM kext_policy;
Utilisez Control-D pour quitter la session sqlite3.
Vous obtenez une ligne de sortie pour chaque extension de noyau installée. Sur chaque ligne, la
première valeur est Team ID.
14.23.6 Contrôle de la stratégie des préférences de
confidentialité (stratégie d’appareil macOS)
La configuration Contrôle de la stratégie des préférences de confidentialité vous permet de gérer
les paramètres à partir de l’onglet Confidentialité des préférences Sécurité et confidentialité de
macOS.
Remarque
Les utilisateurs doivent accepter la stratégie. Ceci ne s’applique pas aux appareils gérés avec
Apple Business Manager.
Paramètre
Description
Autoriser Sophos Endpoint à contrôler tous
les fichiers
Autoriser Sophos Endpoint à accéder aux
données telles que les sauvegardes Mail,
Messages, Safari, Bureau, Time Machine ainsi
qu’à certains paramètres de gestion pour tous
les utilisateurs du Mac.
14.23.7 Configuration VPN (stratégie d’utilisateur macOS)
La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.
Paramètre
Description
Nom de la connexion
Le nom de la connexion affichée sur l’appareil.
Copyright © Sophos Limited
273
Sophos Mobile
Paramètre
Description
Type de connexion
Le type de connexion VPN :
•
Cisco AnyConnect
•
Cisco Legacy AnyConnect
•
IPsec (Cisco)
•
F5
•
Check Point
•
SSL/TLS personnalisé
Les différents champs d’entrée sont affichés sur
la page VPN en fonction du type de connexion
que vous sélectionnez.
Identifiant (format de résolution DNS
inverse)
L’identifiant personnalisé au format DNS
inverse.
Serveur
Le nom d’hôte ou l’adresse IP du serveur.
Compte
Le compte de l’utilisateur pour l’authentification
de la connexion.
Paramètres tiers
Si votre fournisseur a précisé des propriétés
de connexion personnalisées, vous pouvez les
saisir dans ce champ.
Pour saisir une propriété, cliquez sur Ajouter
et saisissez la Clé et la Valeur de la propriété
dans la boîte de dialogue.
Envoyer tout le trafic par VPN
Tout le trafic est envoyé par VPN.
Groupe
Le groupe qui sera requis pour l’authentification
de la connexion.
Authentification de l’utilisateur
Le type d’authentification de l’utilisateur pour la
connexion :
•
Mot de passe
Si vous sélectionnez cette option, le
champ Mot de passe apparaît en
dessous du champ Authentification de
l’utilisateur. Saisissez le mot de passe pour
l’authentification.
•
Certificat
Si vous sélectionnez cette option, le
champ Certificat apparaît en dessous du
champ Authentification de l’utilisateur.
Sélectionnez un certificat.
274
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Authentification de l’appareil
Le type d’authentification de l’appareil :
•
Clés (secret partagé)/Nom du groupe
Si vous sélectionnez cette option, les
champs Nom du groupe, Clés (secret
partagé), Utiliser une authentification
hybride et Demander le mot de passe
sont affichés en dessous du champ
Authentification de l’appareil. Saisissez
les informations d’authentification requises
dans les champs Nom du groupe et Clés
(secret partagé). Sélectionnez Utiliser une
authentification hybride et Demander le
mot de passe si nécessaire.
•
Certificat
Si vous sélectionnez cette option, les
champs Certificat et Inclure le code PIN
de l’utilisateur sont affichés en dessous
du champ Authentification de l’appareil.
Sélectionnez le certificat requis dans la liste
Certificat. Sélectionnez Inclure le code
PIN de l’utilisateur pour inclure le code
PIN de l’utilisateur à l’authentification de
l’appareil.
Proxy
Les paramètres proxy pour la connexion :
•
Aucun proxy
•
Manuel
Si vous sélectionnez l’une de ces
options, les champs Serveur et port,
Authentification et Mot de passe
apparaissent. Dans le champ Serveur
et port, saisissez l’adresse et le port
du serveur proxy. Dans le champ
Authentification, saisissez le nom
d’utilisateur pour la connexion au serveur
proxy. Dans le champ Mot de passe,
saisissez le mot de passe pour la connexion
au serveur proxy.
•
Automatique
Si vous sélectionnez cette option, le champ
URL du serveur proxy apparaît. Saisissez
l’URL du serveur avec le paramètre du
proxy dans ce champ.
Copyright © Sophos Limited
275
Sophos Mobile
Paramètre
Description
Type de fournisseur
Le type de connexion VPN.
•
Proxy de l’appli : le trafic réseau est
envoyé par un tunnel VPN au niveau de
l’application.
•
Tunnel de paquets : le trafic réseau est
envoyé par un tunnel VPN au niveau du
réseau.
14.23.8 Configuration Pare-feu (stratégie d’appareil macOS)
La configuration Pare-feu vous permet de définir les paramètres du pare-feu d’application inclus dans
macOS.
Paramètre
Description
Activer le pare-feu d’application
Le pare-feu d’application est activé.
Bloquer toutes les connexions entrantes
Le partage des services, comme Partage de
fichiers ou le Partage de l’écran ne sont pas
autorisées à recevoir des connexions entrantes.
Ceci n’affecte pas les services système
suivants :
•
configd (DHCP et autres services de
configuration du réseau)
•
mDNSResponder (Bonjour)
•
racoon (IPSec)
Utiliser le mode furtif
L’ordinateur ignore les demandes inattendues
comme les requêtes « ping ».
Autoriser automatiquement les applis
intégrées
Les apps intégrées, comme iTunes, sont
ajoutées à la liste des apps autorisées à
recevoir des connexions.
Vous ne pouvez pas désactiver ce paramètre.
Autoriser automatiquement les applis
téléchargées signées
Les apps signées par une autorité de
certification valide sont ajoutées à la liste des
apps autorisées à recevoir des connexions.
Vous ne pouvez pas désactiver ce paramètre.
Connexions autorisées
Un groupe d’apps contenant des apps
autorisées à recevoir des connexions.
Pour les autres apps, les utilisateurs peuvent
choisir d’autoriser ou de refuser une connexion.
276
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Connexions refusées
Un groupe d’apps contenant des apps non
autorisées à recevoir des connexions.
Pour les autres apps, les utilisateurs peuvent
choisir d’autoriser ou de refuser une connexion.
14.23.9 Configuration du filtre de contenu Web (stratégie
d’appareil macOS)
La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le
filtrage du contenu Internet.
Paramètre
Description
Nom du filtre
Un nom personnalisé pour la configuration du
filtre.
N°ID du filtre
L’identifiant du package de l’app tierce.
Serveur
Le serveur hébergeant le service de filtrage
(nom d’hôte, adresse IP ou URL).
Entreprise
Le nom de votre entreprise. La valeur est
transmise au service de filtrage.
Nom d’utilisateur
Mot de passe
Les codes d’accès requis pour la connexion au
service de filtrage.
Certificat
Un certificat d’authentification du service de
filtrage.
Plage de filtre
Le trafic à filtrer par l’app tierce :
Paramètres tiers
Copyright © Sophos Limited
•
Filtrer le trafic du navigateur : le trafic du
navigateur WebKit est filtré.
•
Filtrer le trafic des sockets : le trafic des
sockets est filtré.
•
Filtrer le trafic du navigateur et des
sockets : le trafic WebKit et des sockets est
filtré.
Les paramètres de configuration
supplémentaires requis par l’app tierce, si
nécessaire.
277
Sophos Mobile
14.23.10 Configuration du proxy HTTP global (stratégie
d’appareil iOS)
La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel.
Paramètre
Description
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
Serveur
Le nom (ou l’adresse IP) du proxy HTTP.
Port
Le numéro de port du proxy HTTP.
Authentification
Le nom d’utilisateur pour la connexion au
serveur proxy.
Mot de passe
Le mot de passe pour la connexion au serveur
proxy.
URL PAC
L’URL du fichier de configuration automatique
de proxy (PAC).
14.23.11 Configuration des domaines administrés (stratégie
d’appareil macOS)
La configuration Domaines administrés vous permet de définir les domaines administrés pour les
Macs.
Domaines de messagerie
Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant
d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant
extérieure au domaine dans l’app de messagerie.
278
Copyright © Sophos Limited
Sophos Mobile
14.23.12 Configuration de l’authentification unique (stratégie
d’appareil macOS)
La configuration Authentification unique vous permet de définir les paramètres d’une app à
authentification unique ou d’une app tierce.
Paramètre
Description
Nom
Un nom clair pour le compte.
Nom Kerberos principal
Le nom Kerberos principal.
Si vous ne remplissez pas ce champ,
l’utilisateur devra saisir son nom.
Royaume
Le nom du royaume Kerberos.
Veuillez saisir le nom en majuscules.
Adresses URL
Une liste des préfixes d’URL qui doivent
correspondre pour utiliser le compte pour
l’authentification Kerberos sur HTTP.
Les valeurs doivent commencer par http://
ou par https://
Si une valeur ne finit pas par /, la barre oblique
/ est ajoutée par Sophos Mobile.
Identifiants de l’appli
Une liste de numéros d’ID de package d’apps.
Les valeurs doivent correspondre exactement
(par exemple ; com.sophos.smsec), ou être
des préfixes, utilisant des caractères .* à la
fin de la chaîne de caractères (par exemple ;
com.sophos.*).
14.23.13 Configuration AirPrint (stratégie d’utilisateur macOS)
La configuration AirPrint vous permet d’ajouter des imprimantes AirPrint à la liste d’imprimantes
AirPrint de l’utilisateur.
Paramètre
Description
Adresse IP
L’adresse IP de l’imprimante AirPrint.
Chemin des ressources
Le chemin des ressources associées à
l’imprimante.
Exemples :
Copyright © Sophos Limited
•
imprimantes/<modèle imprimante>
•
ipp/print
279
Sophos Mobile
14.23.14 Configuration du service d’annuaire (stratégie
d’appareil macOS)
La configuration Service d’annuaire vous permet d’indiquer un domaine Active Directory que le Mac
va rejoindre lorsque la stratégie lui est assignée.
Remarque
Si le domaine Active Directory que vous configurez ici est le même domaine que vous utilisez pour
Sophos Mobile Self Service Portal, la stratégie d’utilisateur macOS assignée au Mac est appliquée
à tous les utilisateurs Active Directory se connectant au Mac.
Paramètres généraux
Paramètre
Description
Nom de l’hôte du domaine
Le nom d’hôte DNS du domaine Active
Directory à rejoindre.
Nom de l’administrateur AD
Les codes d’accès du compte d’utilisateur utilisé
pour la connexion au serveur Active Directory.
Mot de passe
Unité organisationnelle
Cet utilisateur doit avoir les autorisations
d’ajouter les appareils à la base de données
Active Directory.
L’unité organisationnelle (OU) dans la base de
données Active Directory à laquelle est ajouté
l’ordinateur.
Expérience de l’utilisateur
Paramètre
Description
Créer un compte mobile
macOS crée un compte mobile lorsqu’un
utilisateur du réseau se connecte pour la
première fois.
Le compte mobile permet aux utilisateur de
se connecter au Mac à l’aide de leurs codes
d’accès Active Directory même si le Mac n’est
pas connecté au serveur Active Directory.
Demander la confirmation avant de créer un
compte mobile
280
L’utilisateur décide de créer un compte mobile
ou pas.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Forcer le dossier d’accueil local
Sélectionnez cette case pour forcer la
création de profils d’utilisateur sur le disque de
démarrage. Cette opération est obligatoire pour
les comptes mobiles.
Si vous déssélectionnez la case, les annuaires
réseau de départ sont utilisés.
Utiliser le chemin UNC à partir d’Active
Directory
macOS monte le dossier de départ dans le
compte d’utilisateur Active Directory.
Protocole réseau
Le protocole de montage du dossier de départ.
Shell de l’utilisateur par défaut
Le shell de ligne de commande pour
l’utilisateur.
Si le champ n’est pas rempli, /bin/bash est
utilisé.
Mappage
Paramètre
Description
Attribut de l’UID
L’attribut Active Directory mappé à l’identifiant
d’utilisateur unique (UID) dans macOS.
Attribut GID de l’utilisateur
L’attribut Active Directory mappé à l’identifiant
de groupe principal dans les comptes
d’utilisateur macOS.
Attribut GID du groupe
L’attribut Active Directory mappé à l’identifiant
de groupe dans les comptes de groupe macOS.
Attention
Si vous changez ces paramètres ultérieurement, les utilisateurs risquent de perdre l’accès aux
fichiers créés auparavant.
Administrative
Paramètre
Description
Serveur DC préféré
Le contrôleur de domaine Active Directory
consulté en premier.
Si le champ n’est pas rempli, macOS
sélectionne le contrôleur de domaine en
fonction des informations sur le site et du temps
de réponse du contrôleur.
Copyright © Sophos Limited
281
Sophos Mobile
Paramètre
Description
Intervalle de fiabilité du mot de passe en
jours
Indiquez la fréquence à laquelle macOS
doit changer le mot de passe de son compte
d’ordinateur Active Directory.
Si le champ n’est pas rempli, macOS change
son mot de passe tous les 14 jours.
Si vous définissez la valeur sur 0, macOS ne
change pas le mot de passe automatiquement.
Espace de noms
•
Forêt
La compatibilité aux espaces de nom est
activée. Plusieurs utilisateurs avec le même
nom de connexion pour différents domaines
de la forêt Active Directory peuvent se
connecter.
Les utilisateurs doivent saisir leur nom de
connexion au format DOMAINE\nom.
•
Domaine
La compatibilité aux espaces de nom est
désactivée. Les utilisateurs ont un nom de
connexion unique.
Signature de paquet
Chiffrement de paquet
macOS peut signer et chiffrer les connexions
LDAP utilisées pour la communication Active
Directory.
•
Autoriser : macOS décide de signer et/ou de
chiffrer les connexions LDAP.
•
Désactiver : macOS ne signe ni ne chiffre les
connexions LDAP.
•
Demander: macOS signe et chiffre
systématiquement les connexions LDAP.
•
SSL/TLS: macOS utilise toujours LDAP sur SSL/
TLS.
Authentification multi-domaine
Les utilisateurs de tous les domaines de la forêt
Active Directory peuvent se connecter.
Groupes d’administrateurs de domaine
Une liste des groupes Active Directory.
Les membres de ces groupes disposent des
droits administratifs sur le Mac.
Pour ajouter un groupe, saisissez le nom de
domaine Active Directory, une barre oblique
inverse et le nom du compte de groupe. Par
exemple ADS\Domain Admins.
Les entrées sont sensibles aux majuscules.
282
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Restreindre le DDNS
Une liste des interfaces réseau.
Par défaut, macOS utilise DDNS (Dynamic
DNS) pour toutes les interfaces réseau. Pour
limiter DDNS à certaines interfaces, saisissez
leurs noms BSD.
Par exemple, pour limiter DDNS au port
Ethernet intégré, saisissez en0.
Pour saisir plus d’une interface, appuyez sur
Entrée après chaque entrée.
14.23.15 Configuration du certificat racine (stratégie d’appareil
macOS)
La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.23.16 Configuration du certificat du client (stratégie
d’appareil macOS)
La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis
sélectionnez un fichier de certificat PKCS #12
(.pfx).
Copyright © Sophos Limited
283
Sophos Mobile
Paramètre
Description
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de
certificat.
Autoriser l’exportation depuis le jeu de clés
Les utilisateurs peuvent exporter la clé privée
du certificat depuis le jeu de clés.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.23.17 Configuration SCEP (stratégie d’utilisateur macOS)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom du serveur CA
Un nom intelligible pour l’Autorité de
certification. Par exemple, le nom peut servir à
faire la distinction entre deux instances.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
284
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(SerialNumber)_%
pour un Mac.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Type de l’autre nom de l’objet
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
Valeur de l’autre nom de l’objet
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
Nom de connexion d’utilisateur AD
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Nouvelles tentatives
Le nombre de nouvelles tentatives si le serveur
envoie une réponse en attente.
Délai avant la nouvelle tentative
Le nombre de secondes écoulées entre les
nouvelles tentatives.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Autoriser l’exportation depuis le jeu de clés
Les utilisateurs peuvent exporter la clé privée
du certificat depuis le jeu de clés.
14.24 Configuration des stratégies d’utilisateur
macOS
Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui
s’appliqueront à tous les utilisateurs gérés par Sophos Mobile.
Concepts connexes
À propos des stratégies macOS (page 115)
Configuration des stratégies d’appareil macOS (page 264)
Copyright © Sophos Limited
285
Sophos Mobile
Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront
à tous les utilisateurs.
14.24.1 Configuration des stratégies de mot de passe (stratégie
d’utilisateur macOS)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour
les mots de passe des comptes d’utilisateur Mac.
Remarque
Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de
grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer
son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité
en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur
l’appareil, même les applis internes.
Paramètre
Description
Accepter les valeurs simples
Les utilisateurs sont autorisés à utiliser des
caractères séquentiels ou répétés dans leur mot
de passe (par exemple 1111 ou abcde).
Exiger des valeurs alphanumériques
Les mots de passe doivent contenir au moins
une lettre ou un chiffre.
Longueur minimum du mot de passe
Indique le nombre minimum de caractères
qu’un mot de passe doit contenir.
Nombre minimum de caractères complexes
Indique le nombre minimum de caractères non
alphanumériques (par exemple & ou !) qu’un
mot de passe doit contenir.
Durée de validité maximale du mot de passe
en jours
Demande aux utilisateurs de changer leur mot
de passe dans l’intervalle indiqué. Plage de
valeur : 0 (aucun changement de mot de passe
requis) à 730 jours.
Verrouillage automatique maximal (en
minutes)
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer sur
l’appareil. Le verrouillage automatique indique
au bout de combien de temps (en minutes)
l’appareil doit être verrouillé lorsqu’il n’est pas
utilisé.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
286
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Délai de grâce maximal avant verrouillage de
l’appareil
Ce champ vous permet d’indiquer la valeur
maximale que l’utilisateur peut configurer
sur l’appareil. Le délai de grâce avant
le verrouillage de l’appareil vous permet
d’indiquer pendant combien de temps
l’appareil peut être déverrouillé suite à un
verrouillage sans demande de mot de passe.
Si vous sélectionnez Aucun, l’utilisateur peut
sélectionner l’un des intervalles disponibles.
Si vous sélectionnez Immédiatement, les
utilisateurs doivent saisir un mot de passe à
chaque fois qu’ils déverrouillent leur appareil.
Nombre de tentatives ratées avant
réinitialisation de l’appareil
Ce champ vous permet d’indiquer le nombre
de tentatives ratées de saisie du mot de
passe qu’il est possible d’effectuer avant que
l’appareil soit réinitialisé. Après six tentatives
ratées, l’utilisateur doit attendre pendant un
moment avant de pouvoir saisir de nouveau
un mot de passe. Le délai d’attente augmente
à chaque tentative ratée. Suite à l’échec de la
dernière tentative, toutes les données et les
paramètres sont supprimés de l’appareil. Le
délai d’attente commence à la sixième tentative.
Par conséquent, si vous définissez cette valeur
sur 6 ou sur une valeur inférieure, il n’y a
aucun délai d’attente et l’appareil est réinitialisé
lorsque la limite des tentatives autorisées est
dépassée.
14.24.2 Configuration des restrictions (stratégie d’utilisateur
macOS)
La configuration Restrictions vous permet de définir les restrictions pour les Macs.
Remarque
Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué
par des étiquettes bleues dans Sophos Mobile Admin.
Copyright © Sophos Limited
287
Sophos Mobile
Appareil
Paramètre
Description
Autoriser l’utilisation de l’appareil photo
Si cette case est dessélectionnée, l’appareil
photo n’est plus disponible et l’icône de
l’Appareil photo disparaît de l’écran d’Accueil.
L’utilisateur ne peut pas prendre de photos,
enregistrer de vidéos ou utiliser FaceTime.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la recherche sur Internet pour
Spotlight
Si cette case est dessélectionnée, Spotlight
ne fournit plus de résultats de recherche sur
Internet.
Autoriser Apple Music
L’utilisateur peut accéder à la bibliothèque
Apple Music.
Délai de mise à jour du logiciel macOS
Le nombre de jours de délais du logiciel macOS
après sa date de sortie.
Saisir une valeur entre 0 (aucun délai) et 90.
iCloud
Paramètre
Description
Autoriser la sauvegarde
Les utilisateurs peuvent sauvegarder leurs
appareils dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser la bibliothèque de photos iCloud
Les utilisateurs peuvent utiliser la Bibliothèque
de photos iCloud.
Autoriser la synchronisation du trousseau
iCloud
Les utilisateurs peuvent se servir du Trousseau
iCloud pour synchroniser les mots de passe sur
leurs iPhones, iPads et Macs.
Si la case n’est pas sélectionnée, les données
du Trousseau iCloud sont uniquement stockées
localement sur l’appareil.
288
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser la synchronisation des documents
Les utilisateurs peuvent conserver les
documents et les données de configuration des
apps dans iCloud.
Si l’appareil utilise iOS 13.0 (ou iPadOS 13.1)
ou une version ultérieure, il doit être supervisé
pour prendre en charge cette option.
Autoriser Accès à mon Mac
Les utilisateurs peuvent utiliser Accès à mon
Mac iCloud, c’est-à-dire le partage de fichiers et
d’écran entre un Mac distant et local.
Autoriser Localiser mon Mac
Les utilisateurs peuvent utiliser Localiser mon
Mac iCloud pour rechercher, verrouiller ou
réinitialiser leur Mac à distance.
Autoriser les favoris iCloud
Les utilisateurs peuvent utiliser les Favoris
iCloud pour synchroniser les favoris Web entre
les navigateurs et les plates-formes.
Autoriser la messagerie iCloud
Les utilisateurs peuvent créer un compte
Messagerie iCloud sur leur Mac.
Autoriser le calendrier iCloud
Les utilisateurs peuvent se servir du Calendrier
iCloud pour partager leurs calendriers avec
tous leurs appareils et avec d’autres utilisateurs
d’iCloud.
Autoriser les rappels iCloud
Les utilisateurs peuvent se servir des Rappels
iCloud pour partager leurs listes de rappels avec
tous leurs appareils et avec d’autres utilisateurs
d’iCloud.
Autoriser le carnet d’adresses iCloud
Les utilisateurs peuvent se servir du Carnet
d’adresses iCloud pour partager leurs contacts
avec tous leurs appareils et avec d’autres
utilisateurs d’iCloud.
Autoriser les notes iCloud
Les utilisateurs peuvent se servir des Notes
iCloud pour partager leurs notes avec tous leurs
appareils et avec d’autres utilisateurs.
Autoriser iCloud Drive pour le Bureau et les
documents
Les utilisateurs peuvent stocker leur poste de
travail Mac et leur dossier Documents dans
iCloud Drive et y accéder à partir d’autres
appareils.
Copyright © Sophos Limited
289
Sophos Mobile
Sécurité et confidentialité
Paramètre
Description
Autoriser Touch ID et Face ID à déverrouiller
l’appareil
Si cette case n’est pas sélectionnée, l’appareil
ne peut pas être déverrouillé par authentification
biométrique.
Autoriser la recherche de définition
Les utilisateurs peuvent rechercher les
définitions des mots surlignés.
Autoriser le déverrouillage automatique
Les utilisateurs peuvent se servir du
Déverrouillage automatique pour déverrouiller
automatiquement leur Mac à l’aide de leur Apple
Watch.
Autoriser le partage de fichiers iTunes
Les utilisateurs peuvent se servir du Partage de
fichiers dans iTunes pour copier les fichiers sur
leur Mac et sur leur iPhone ou iPad.
Autoriser AirPrint
Les utilisateurs peuvent envoyer des fichiers sur
des imprimantes AirPrint.
Autoriser la recherche iBeacon
d’imprimantes AirPrint
L’appareil utilise iBeacon pour rechercher les
appareils AirPrint.
Attention
Si vous autorisez ceci, les appareils AirPrint
malveillants peuvent lancer des attaques de
phishing sur le trafic réseau.
Forcer les certificats approuvés pour
AirPrint sur TLS
AirPrint sur TLS est rejeté si l’appareil AirPrint
utilise un certificat non approuvé.
Autoriser le remplissage automatique à la
saisie du mot de passe
L’utilisateur peut activer le paramètre
Remplissage automatique des mots de
passe qui lui permet d’utiliser le mot de passe
ou les coordonnées de la carte de paiement
enregistrés dans Safari ou dans d’autres apps.
Si la case n’est pas sélectionnée, la suggestion
automatique de mots de passe complexes est
également désactivée.
290
Demander les mots de passe Wi-Fi à partir
d’appareils à proximité
L’appareil demande les mots de passe à partir
d’appareils se trouvant à proximité lors de la
configuration d’une connexion Wi-Fi.
Autoriser le partage de mots de passe
AirDrop
L’utilisateur peut partager les mots de passe
dans le Gestionnaire des mots de passe avec
d’autres utilisateurs avec AirDrop.
Copyright © Sophos Limited
Sophos Mobile
14.24.3 Configuration du compte Exchange (stratégie
d’utilisateur macOS)
La configuration Compte Exchange vous permet de créer un compte Exchange Web Services (EWS)
pour les Contacts, la Messagerie, les Rappels et l’Agenda.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Activer OAuth 2.0
Le compte utilise l’authentification Oauth 2,
c’est-à-dire que les utilisateurs s’authentifient
avec leurs codes d’accès Microsoft.
Terminal d’autorisation OAuth
L’URL du terminal OAuth qui gère les
demandes d’authentification des utilisateurs,
c’est-à-dire la page de connexion Microsoft.
Lorsque vous utilisez ce paramètre, la fonction
Autodiscover d’Exchange Online et Exchange
Server est désactivée. Veuillez donc saisir une
adresse de serveur dans Serveur Exchange.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Copyright © Sophos Limited
291
Sophos Mobile
14.24.4 Configuration Wi-Fi (stratégie d’utilisateur macOS)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
Le nom du réseau Wi-Fi.
Connexion automatique
Se connecter automatiquement au réseau Wi-Fi
s’il est disponible.
Réseau masqué
Le réseau Wi-Fi ne diffuse pas son SSID.
Désactiver l’adresse du domicile
Rejoindre le réseau avec l’adresse MAC
matérielle de l’appareil plutôt qu’avec l’adresse
réseau spécifique créée par iOS.
Ce paramètre réduit la confidentialité de la
connexion. Veuillez uniquement l’utiliser si
l’appareil doit s’identifier avec la même adresse
MAC sur vos réseaux.
Notez que l’intégration du contrôle d’accès
réseau (NAC) à un système NAC tiers ne
fonctionne pas pour les appareils qui utilisent
une adresse MAC privée. Le système NAC
ne connaît que l’adresse privée d’un appareil,
alors que Sophos Mobile connaît uniquement
l’adresse matérielle.
Type de sécurité
Le type de sécurité du réseau Wi-Fi.
Mot de passe
Le mot de passe du réseau Wi-Fi.
Cette option est disponible lorsque vous avez
sélectionné un type de sécurité personnelle.
Protocoles
Les paramètres du protocole d’authentification.
•
Types d’EAP acceptés : Les types EAP que
l’appareil accepte pour l’authentification.
•
EAP-FAST : Pour EAP-FAST, vous pouvez
configurer un PAC (Protected Access Credential).
•
Identité interne : Protocole pour l’authentification
des utilisateurs par tunnel (pour TTLS).
•
Version TLS minimale, Version TLS maximale :
Les versions TLS minimales et maximales
du protocole TLS que l’appareil accepte pour
l’authentification EAP.
Protocoles est disponible lorsque vous avez
sélectionné un type de sécurité professionnelle.
292
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Authentification
Les paramètres d’authentification du client.
•
Utilisateur : Le nom d’utilisateur pour la connexion
au réseau Wi-Fi.
•
Demander le mot de passe à chaque
connexion : Sélectionnez cette option pour
envoyer le mot de passe à chaque authentification.
•
Mot de passe : Le mot de passe du réseau Wi-Fi.
•
Certificat d’identité : Le certificat pour la
connexion au réseau Wi-Fi. Avant de pouvoir
sélectionner un certificat, vous devez l’ajouter à
la stratégie avec une configuration Certificat du
client.
•
Identité externe : L’identifiant externe visible (pour
TTLS, PEAP et EAP-FAST).
Authentification est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Certificats approuvés
Le certificat du serveur.
Avant de pouvoir sélectionner un certificat,
vous devez l’ajouter à la stratégie avec une
configuration Certificat racine.
Certificats approuvés est disponible lorsque
vous avez sélectionné un type de sécurité
professionnelle.
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
14.24.5 Configuration SCEP (stratégie d’appareil macOS)
La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.
Paramètre
Description
Nom de la connexion
Le nom de la connexion affichée sur l’appareil.
Copyright © Sophos Limited
293
Sophos Mobile
Paramètre
Description
Type de connexion
Le type de connexion VPN :
•
Cisco AnyConnect
•
Cisco Legacy AnyConnect
•
IPsec (Cisco)
•
F5
•
Check Point
•
SSL/TLS personnalisé
Les différents champs d’entrée sont affichés sur
la page VPN en fonction du type de connexion
que vous sélectionnez.
Identifiant (format de résolution DNS
inverse)
L’identifiant personnalisé au format DNS
inverse.
Serveur
Le nom d’hôte ou l’adresse IP du serveur.
Compte
Le compte de l’utilisateur pour l’authentification
de la connexion.
Paramètres tiers
Si votre fournisseur a précisé des propriétés
de connexion personnalisées, vous pouvez les
saisir dans ce champ.
Pour saisir une propriété, cliquez sur Ajouter
et saisissez la Clé et la Valeur de la propriété
dans la boîte de dialogue.
Envoyer tout le trafic par VPN
Tout le trafic est envoyé par VPN.
Groupe
Le groupe qui sera requis pour l’authentification
de la connexion.
Authentification de l’utilisateur
Le type d’authentification de l’utilisateur pour la
connexion :
•
Mot de passe
Si vous sélectionnez cette option, le
champ Mot de passe apparaît en
dessous du champ Authentification de
l’utilisateur. Saisissez le mot de passe pour
l’authentification.
•
Certificat
Si vous sélectionnez cette option, le
champ Certificat apparaît en dessous du
champ Authentification de l’utilisateur.
Sélectionnez un certificat.
294
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Authentification de l’appareil
Le type d’authentification de l’appareil :
•
Clés (secret partagé)/Nom du groupe
Si vous sélectionnez cette option, les
champs Nom du groupe, Clés (secret
partagé), Utiliser une authentification
hybride et Demander le mot de passe
sont affichés en dessous du champ
Authentification de l’appareil. Saisissez
les informations d’authentification requises
dans les champs Nom du groupe et Clés
(secret partagé). Sélectionnez Utiliser une
authentification hybride et Demander le
mot de passe si nécessaire.
•
Certificat
Si vous sélectionnez cette option, les
champs Certificat et Inclure le code PIN
de l’utilisateur sont affichés en dessous
du champ Authentification de l’appareil.
Sélectionnez le certificat requis dans la liste
Certificat. Sélectionnez Inclure le code
PIN de l’utilisateur pour inclure le code
PIN de l’utilisateur à l’authentification de
l’appareil.
Proxy
Les paramètres proxy pour la connexion :
•
Aucun proxy
•
Manuel
Si vous sélectionnez l’une de ces
options, les champs Serveur et port,
Authentification et Mot de passe
apparaissent. Dans le champ Serveur
et port, saisissez l’adresse et le port
du serveur proxy. Dans le champ
Authentification, saisissez le nom
d’utilisateur pour la connexion au serveur
proxy. Dans le champ Mot de passe,
saisissez le mot de passe pour la connexion
au serveur proxy.
•
Automatique
Si vous sélectionnez cette option, le champ
URL du serveur proxy apparaît. Saisissez
l’URL du serveur avec le paramètre du
proxy dans ce champ.
Copyright © Sophos Limited
295
Sophos Mobile
Paramètre
Description
Type de fournisseur
Le type de connexion VPN.
•
Proxy de l’appli : le trafic réseau est
envoyé par un tunnel VPN au niveau de
l’application.
•
Tunnel de paquets : le trafic réseau est
envoyé par un tunnel VPN au niveau du
réseau.
14.24.6 Configuration du Web Clip (stratégie d’utilisateur
macOS)
La configuration Web clip vous permet de définir les Web clips à ajouter sur le bureau macOS. Les
Web clips offrent un accès rapide aux pages Web favorites. Vous pouvez également ajouter un Web
clip avec, par exemple, le numéro de téléphone du support afin de fournir un moyen rapide d’appeler le
service d’assistance.
296
Paramètre
Description
Description
Une description du Web clip.
URL
L’adresse Web du serveur du Web clip.
Peut être supprimé
Si cette case est dessélectionnée, l’utilisateur
ne peut pas supprimer le Web clip. Le seul
moyen de le supprimer de l’appareil sera de
supprimer la stratégie avec laquelle il a été
installé.
Plein écran
Le Web clip s’ouvre en plein écran sur
l’appareil. Un Web clip affiché en plein écran
ouvre l’URL en tant qu’app Web.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Icône
Sélectionnez une image à utiliser comme icône
du Web Clip sur l’écran d’accueil. L’image doit
être au format PNG, GIF ou JPEG et d’une taille
maximale de 1 Mo.
L’image est coupée à la taille d’un carré
et redimensionnée pour correspondre à la
résolution de l’écran. Pour des résultats
optimaux, nous vous conseillons d’utiliser une
taille d’image de 180 px par 180 px.
Remarque
Lorsqu’une favicon est définie dans le code HTML
d’une page Web, l’appareil peut afficher cette
favicon en tant qu’icône Web Clip. Ceci se produit
uniquement sur certaine pages Web selon la
manière dont la favicon a été configurée dans le
code de la page Web.
14.24.7 Configuration du filtre de contenu Web (stratégie
d’utilisateur macOS)
La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le
filtrage du contenu Internet.
Paramètre
Description
Nom du filtre
Un nom personnalisé pour la configuration du
filtre.
N°ID du filtre
L’identifiant du package de l’app tierce.
Serveur
Le serveur hébergeant le service de filtrage
(nom d’hôte, adresse IP ou URL).
Entreprise
Le nom de votre entreprise. La valeur est
transmise au service de filtrage.
Nom d’utilisateur
Mot de passe
Certificat
Copyright © Sophos Limited
Les codes d’accès requis pour la connexion au
service de filtrage.
Un certificat d’authentification du service de
filtrage.
297
Sophos Mobile
Paramètre
Description
Plage de filtre
Le trafic à filtrer par l’app tierce :
Paramètres tiers
•
Filtrer le trafic du navigateur : le trafic du
navigateur WebKit est filtré.
•
Filtrer le trafic des sockets : le trafic des
sockets est filtré.
•
Filtrer le trafic du navigateur et des
sockets : le trafic WebKit et des sockets est
filtré.
Les paramètres de configuration
supplémentaires requis par l’app tierce, si
nécessaire.
14.24.8 Configuration du proxy HTTP global (stratégie
d’utilisateur iOS)
La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel.
Paramètre
Description
Proxy
Sélectionnez Manuel pour configurer les
informations sur la connexion manuellement.
Sélectionnez Automatique si vous avez un
fichier de configuration automatique de proxy
(PAC).
298
Serveur
Le nom (ou l’adresse IP) du proxy HTTP.
Port
Le numéro de port du proxy HTTP.
Authentification
Le nom d’utilisateur pour la connexion au
serveur proxy.
Mot de passe
Le mot de passe pour la connexion au serveur
proxy.
URL PAC
L’URL du fichier de configuration automatique
de proxy (PAC).
Copyright © Sophos Limited
Sophos Mobile
14.24.9 Configuration des domaines administrés (stratégie
d’utilisateur macOS)
La configuration Domaines administrés vous permet de définir les domaines administrés pour les
Macs.
Domaines de messagerie
Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant
d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant
extérieure au domaine dans l’app de messagerie.
14.24.10 Configuration de CalDAV (stratégie d’utilisateur
macOS)
La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda
avec un serveur CalDAV. Par exemple, elle peut servir à synchroniser l’Agenda Google avec un Mac.
Paramètre
Description
Nom du compte
Le nom d’affichage du compte CalDAV sur
l’appareil.
Serveur
Le nom d’hôte ou l’adresse IP du serveur
CalDAV.
Port
Le numéro de port du serveur CalDAV.
URL principale
Si requis par le serveur CalDAV, saisissez
l’URL principale des ressources de l’agenda.
Par exemple, pour synchroniser un autre
agenda que l’agenda principal d’un compte
Google, saisissez :
https://
apidata.googleusercontent.com/
caldav/
v2/calendar_id/user
où calendar_id correspond à l’identifiant
de l’agenda avec lequel vous voulez vous
synchroniser. Dans l’application Web de Google
Agenda, l’identifiant de l’agenda est affiché dans
les paramètres de l’agenda. Retrouvez plus de
renseignements dans l’Aide de Google Agenda.
Nom d’utilisateur, Mot de passe
Les codes d’accès au compte CalDAV.
Par exemple, pour Google Agenda, saisissez
les codes d’accès du compte Google.
Copyright © Sophos Limited
299
Sophos Mobile
Paramètre
Description
SSL/TLS
La connexion au serveur CalDAV est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
Nous vous conseillons de sélectionner cette
option.
14.24.11 Configuration CardDAV (stratégie d’utilisateur macOS)
La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts
avec un serveur CardDAV. Par exemple, elle peut servir à synchroniser les Contacts Google avec un
Mac.
Paramètre
Description
Nom du compte
Le nom d’affichage du compte CardDAV sur
l’appareil.
Serveur
Le nom d’hôte ou l’adresse IP du serveur
CardDAV.
Port
Le numéro de port du serveur CardDAV.
URL principale
Si requis par le serveur CardDAV, saisissez
l’URL principale des ressources de contacts.
Par exemple, l’API CardDAV de Google prend
en charge l’URL principale suivante :
https://www.googleapis.com/carddav/
v1/
principals/account_name@gmail.com
où account_name correspond au nom du
compte Google.
Nom d’utilisateur, Mot de passe
Les codes d’accès au compte CardDAV.
Par exemple, pour Google Contacts, saisissez
les codes d’accès du compte Google.
SSL/TLS
La connexion au serveur CardDAV est
sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
300
Copyright © Sophos Limited
Sophos Mobile
14.24.12 Configuration IMAP/POP (stratégie d’utilisateur
macOS)
La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux Macs.
Paramètre
Description
Nom du compte
Le nom d’affichage du compte de messagerie
sur l’appareil.
Type de compte
Le type de serveur de messagerie pour la
messagerie entrante (soit IMAP soit POP).
Nom d’utilisateur affiché
Le nom d’affichage de l’utilisateur pour la
messagerie sortante.
Utilisez la variable %_USERNAME_% pour
indiquer le nom de l’utilisateur assigné à
l’appareil.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Messagerie entrante
Serveur
Le nom d’hôte ou l’adresse IP du serveur de
messagerie entrante (serveur entrant).
Port
Le numéro de port du serveur de messagerie
pour les messages entrants (serveur entrant).
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur entrant.
Type d’authentification
La méthode d’authentification pour la connexion
au serveur entrant.
Mot de passe
Le mot de passe pour la connexion au serveur
entrant (si nécessaire).
SSL/TLS
La connexion au serveur entrant est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
Messagerie sortante
Serveur
Copyright © Sophos Limited
Le nom d’hôte ou l’adresse IP du serveur de
messagerie sortante (serveur sortant).
301
Sophos Mobile
Paramètre
Description
Port
Le numéro de port du serveur de messagerie
pour les messages sortants (serveur sortant).
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur sortant.
Type d’authentification
La méthode d’authentification pour la connexion
au serveur sortant.
Mot de passe
Le mot de passe pour la connexion au serveur
sortant (si nécessaire).
Utiliser le même mot de passe que la
messagerie entrante
Utiliser le mot de passe indiqué pour la
messagerie entrante.
SSL/TLS
La connexion au serveur sortant est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
14.24.13 Configuration de l’Authentification unique (stratégie
d’utilisateur macOS)
La configuration Authentification unique vous permet de définir les paramètres d’une app à
authentification unique ou d’une app tierce.
Paramètre
Description
Nom
Un nom clair pour le compte.
Nom Kerberos principal
Le nom Kerberos principal.
Si vous ne remplissez pas ce champ,
l’utilisateur devra saisir son nom.
Royaume
Le nom du royaume Kerberos.
Veuillez saisir le nom en majuscules.
Adresses URL
Une liste des préfixes d’URL qui doivent
correspondre pour utiliser le compte pour
l’authentification Kerberos sur HTTP.
Les valeurs doivent commencer par http://
ou par https://
Si une valeur ne finit pas par /, la barre oblique
/ est ajoutée par Sophos Mobile.
302
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Identifiants de l’appli
Une liste de numéros d’ID de package d’apps.
Les valeurs doivent correspondre exactement
(par exemple ; com.sophos.smsec), ou être
des préfixes, utilisant des caractères .* à la
fin de la chaîne de caractères (par exemple ;
com.sophos.*).
14.24.14 Configuration LDAP (stratégie d’appareil macOS)
La configuration LDAP vous permet d’ajouter les informations de l’utilisateur à partir d’un annuaire
LDAP dans l’app Carnet d’adresses de macOS.
Remarque
Pour configurer un Mac afin qu’il rejoigne un domaine Active Directory, veuillez utiliser la
configuration Service d’annuaire. Retrouvez plus de renseignements à la section Configuration
du service d’annuaire (stratégie d’appareil macOS) (page 280).
Paramètre
Description
Description du compte
Une description de la connexion LDAP.
Nom d’hôte
Le nom d’hôte ou l’adresse IP du serveur
LDAP.
Nom d’utilisateur
Les codes d’accès de connexion que Sophos
Mobile utilise pour se connecter au serveur
LDAP.
Mot de passe
Utiliser SSL/TLS
La connexion au serveur LDAP est sécurisée
par SSL ou TLS (selon la compatibilité du
serveur).
Rechercher les paramètres
Les nœuds de l’arborescence LDAP à partir
desquels la recherche doit être effectuée et le
champ d’application de la recherche.
Base
Le chemin du nœud de démarrage pour la
recherche.
Par exemple : ou=users,o=my company
Copyright © Sophos Limited
303
Sophos Mobile
Paramètre
Description
Portée
Le champ d’application des sous-nœuds à
inclure dans la recherche :
Description
•
Nœud de base uniquement : uniquement
le nœud de base.
•
Nœud de base et nœuds enfant directs :
le nœud de base et ses nœuds enfant (les
sous-nœuds de premier niveau).
•
Nœud de base et tous les sous-nœuds :
le nœud de base et tous les sous-nœuds
Une description du paramètre de recherche.
14.24.15 Configuration App Store (stratégie d’utilisateur
macOS)
La configuration App Store vous permet de limiter l’utilisation de l’App Store.
Paramètre
Description
Demander le mot de passe de
l’administrateur
Les utilisateurs doivent avoir un mot de passe
administrateur pour installer ou mettre à jour les
apps.
Limiter aux mises à jour
Les utilisateurs peuvent mettre à jour les apps
mais ne peuvent pas en installer de nouvelles.
Interdire l’adoption d’appli
L’adoption d’app permet aux utilisateurs
d’assigner des apps à leur identifiant Apple qui
n’a pas été installé par le biais de l’App Store. Si
vous interdisez l’adoption d’app, les utilisateurs
ne peuvent pas mettre à jour ces apps.
Par exemple, les apps iLife ou iWork incluses à
Mac sont affectées.
Désactiver les notifications de mise à jour
304
Les utilisateurs ne reçoivent pas de notifications
de mise à jour.
Copyright © Sophos Limited
Sophos Mobile
14.24.16 Configuration du certificat racine (stratégie d’utilisateur
macOS)
La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.24.17 Configuration du certificat du client (stratégie
d’utilisateur macOS)
La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis
sélectionnez un fichier de certificat PKCS #12
(.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de
certificat.
Autoriser l’exportation depuis le jeu de clés
Les utilisateurs peuvent exporter la clé privée
du certificat depuis le jeu de clés.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Copyright © Sophos Limited
305
Sophos Mobile
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.24.18 Configuration SCEP (stratégie d’utilisateur macOS)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Paramètre
Description
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Nom du serveur CA
Un nom intelligible pour l’Autorité de
certification. Par exemple, le nom peut servir à
faire la distinction entre deux instances.
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Type de l’autre nom de l’objet
Valeur de l’autre nom de l’objet
Nom de connexion d’utilisateur AD
306
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(SerialNumber)_%
pour un Mac.
Pour ajouter un Autre nom de l’objet (SAN) à
la configuration SCEP, sélectionnez le type de
l’Autre nom de l’objet et saisissez la valeur de
l’Autre nom de l’objet. Les types SAN sont :
•
Nom RFC 822 : une adresse électronique valide.
•
Nom DNS : le nom DNS du serveur de l’autorité de
certification.
•
Uniform Resource Identifier : l’URL complète du
serveur de l’autorité de certification.
La valeur Nom de connexion d’utilisateur
définie dans Active Directory, c’est-à-dire le
Nom principal de l’utilisateur (UPN).
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Nouvelles tentatives
Le nombre de nouvelles tentatives si le serveur
envoie une réponse en attente.
Délai avant la nouvelle tentative
Le nombre de secondes écoulées entre les
nouvelles tentatives.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
Autoriser l’exportation depuis le jeu de clés
Les utilisateurs peuvent exporter la clé privée
du certificat depuis le jeu de clés.
14.25 Configuration des stratégies Windows Mobile
Une stratégie Windows Mobile vous permet de configurer les paramètres des appareils Windows
Mobile.
14.25.1 Configuration des Stratégies de mot de passe (stratégie
Windows Mobile)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le
mot de passe de l’appareil.
Paramètre
Description
Type de mot de passe
Le type de mot de passe que les utilisateurs
doivent définir :
Copyright © Sophos Limited
•
Alphanumériques : le mot de passe doit
contenir à la fois des chiffres et des lettres.
•
Numériques : le mot de passe contient
uniquement des chiffres.
307
Sophos Mobile
Paramètre
Description
Complexité minimale des mots de passe
alphanumériques
Ceci définit les classes de caractères à utiliser
dans un mot de passe alphanumérique.
•
1 : Non applicable (si sélectionné, 2 est utilisé)
•
2 : Chiffres et lettres minuscules obligatoires
•
3 : Chiffres, lettres minuscules et majuscules
obligatoires
•
4 : Chiffres, lettres minuscules et majuscules et
caractères spéciaux obligatoires
Accepter les mots de passe simples
Les mots de passe peuvent être composé de
caractères séquentiels ou répétés, par exemple
abcde ou 1111.
Longueur minimum du mot de passe
Le nombre minimum de caractères qu’un mot
de passe doit contenir.
Nombre maximal de tentatives
Le nombre de tentatives ratées de saisie du
mot de passe de connexion qu’il est possible
d’effectuer avant que l’appareil soit réinitialisé.
Saisissez une valeur entre 1 et 999 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
Durée en minutes avant le verrouillage de
l’appareil
Le temps (en minutes) au bout duquel l’appareil
doit être verrouillé lorsqu’il n’est pas utilisé.
L’utilisateur peut déverrouiller l’appareil.
Saisissez une valeur entre 1 et 999 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Durée de validité maximale du mot de passe
en jours
Le nombre de jours après lesquels les
utilisateurs doivent changer de mot de passe.
Saisissez une valeur entre 1 et 730 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
Autoriser un délai de grâce pour le mot de
passe d’appli
308
Les utilisateurs sont autorisés à définir le délai
de grâce du mot de passe.
Copyright © Sophos Limited
Sophos Mobile
14.25.2 Configuration des Restrictions (stratégie Windows
Mobile)
La configuration des Restrictions vous permet de définir les restrictions pour les appareils.
Appareil
Paramètre
Description
Interdire la carte SD
L’utilisateur ne peut plus accéder à la carte
de stockage. Ceci n’empêche pas les apps
d’accéder à la carte de stockage.
Interdire les appareils non chiffrés
Le chiffrement du stockage interne est activé.
Attention
Une fois que le chiffrement du stockage
interne est activé, vous ne pouvez plus le
désactiver par le biais d’une stratégie.
Remarque
Veuillez activer BitLocker sur l’appareil
avant d’appliquer la stratégie.
Interdire les notifications dans le centre de
notifications lorsque l’écran du téléphone
est verrouillé
Aucune notification du centre de notifications
n’est affichée sur l’écran de verrouillage de
l’appareil.
Interdire l’ajout manuel de comptes de
messagerie non Microsoft
Cette option empêche l’ajout de tous les
types de compte de messagerie ainsi que des
comptes Exchange, Office 365 et Outlook.com.
Interdire la connexion de compte Microsoft
La connexion aux services Microsoft comme
la synchronisation, la sauvegarde, Skype ou la
Boutique Microsoft n’est pas possible.
Remarque
Ce paramètre affecte uniquement les comptes
Microsoft installés sur l’appareil après que la
stratégie a été assignée.
Interdire le mode de développement
Le mode de développement de Windows est
désactivé.
Interdire la Boutique Microsoft
La boutique d’apps n’est pas accessible.
Copyright © Sophos Limited
309
Sophos Mobile
Paramètre
Description
Interdire le navigateur natif
Le navigateur Microsoft Edge n’est plus
disponible.
Interdire la caméra
Le paramètre de confidentialité Autoriser
les applications à utiliser ma caméra est
désactivé.
Niveau de télémétrie
La quantité de diagnostics Windows et de données
d’utilisation que les appareils sont autorisés à envoyer.
•
Complet : toutes les données nécessaires à
l’identification et à l’analyse des problèmes.
•
Amélioré : les données sur l’utilisation et les
performances de Windows et des apps.
•
Basique : une série limitée de données
essentielles à la compréhension du fonctionnement
et de la configuration de l’appareil.
Remarque
Les niveaux sont cumulatifs en partant du niveau
inférieur au niveau supérieur. Par exemple ; le
niveau Amélioré inclut toutes les données du
niveau Basique.
Conseil
Retrouvez plus de renseignements sur les
niveaux télémétriques dans l’article de Microsoft
Configurer les données de diagnostic Windows
dans votre organisation (lien externe).
Divers
310
Paramètre
Description
Interdire la fonction copier/coller
Le bloc-notes n’est plus disponible.
Interdire Cortana
Cortana est désactivée.
Interdire « Enregistrer sous » pour les
fichiers Office
L’utilisateur ne peut pas enregistrer un fichier en
tant que fichier Office sur l’appareil.
Interdire la capture d’écran
Les captures d’écran sont désactivées.
Interdire le partage des fichiers Office
L’utilisateur ne peut pas partager les fichiers
Office.
Interdire « Synchroniser les paramètres »
Les paramètres de l’appareil ne peuvent pas
être synchronisés vers et à partir d’autres
appareils Windows.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Interdire l’enregistrement vocal
L’enregistrement vocal est désactivé.
Wi-Fi
Paramètre
Description
Interdire la connexion Wi-Fi
Les connexions Wi-Fi sont désactivées.
Interdire le partage sur Internet
Le partage de connexion Internet est désactivé.
Interdire l’Assistant Wi-Fi (connexion
automatique aux points d’accès)
L’appareil ne se connectera pas
automatiquement aux points d’accès Wi-Fi.
Interdire le signalement de points d’accès
L’appareil n’enverra pas d’informations sur les
connexions Wi-Fi.
Interdire la configuration manuelle
L’utilisateur ne peut pas configurer d’autres
connexions Wi-Fi que celles configurées par
Sophos Mobile.
Les profils Wi-Fi d’utilisateurs et les profils Wi-Fi
Sense déjà configurés sont supprimés.
Connectivité
Paramètre
Description
Interdire NFC
NFC (communication en champ proche) est
désactivée.
Interdire Bluetooth
Bluetooth est désactivée.
Interdire la connexion USB
La connexion USB entre l’appareil et un
ordinateur pour synchroniser les fichiers ou
utiliser les outils de développement à des fins
de déploiement ou de débogage d’apps est
refusée. Ceci n’affecte pas le chargement USB.
Itinérance et coûts
Paramètre
Description
Interdire la connexion de données en
itinérance
Les connexions de données sur les réseaux
cellulaires étrangers sont désactivées.
Copyright © Sophos Limited
311
Sophos Mobile
Paramètre
Description
Interdire VPN sur les données cellulaires
Les connexions VPN sur les réseaux cellulaires
sont désactivées.
Interdire VPN lors de l’itinérance sur les
données cellulaires
Les connexions VPN sur les réseaux cellulaires
étrangers sont désactivées.
Sécurité et confidentialité
Paramètre
Description
Interdire Bing visuel pour archiver des
images provenant de la recherche visuelle
Bing
Bing visuel ne conservera pas le contenu des
images capturées lors d’une recherche dans
Bing visuel.
Interdire l’utilisation de la géolocalisation
lors de la recherche
La recherche ne peut pas utiliser les
informations de géolocalisation.
Interdire l’installation manuelle de certificats
racine
L’utilisateur ne peut pas installer manuellement
les certificats racines et intermédiaires de
l’autorité de certification.
Interdire la géolocalisation
Tous les paramètres privés de géolocalisation
sur l’appareil sont désactivés. Aucune app ne
peut utiliser le service de géolocalisation. Cette
option empêche également Sophos Mobile de
géolocaliser l’appareil.
Autorisation d’utilisation du Filtre adulte
Le niveau de filtrage des résultats de la
recherche appliqué sur l’appareil :
•
Modéré : filtrage modéré du contenu pour
adulte. Les résultats valides de la recherche
ne seront pas filtrés.
•
Strict : filtrage strict du contenu pour adulte.
Désinscription
312
Paramètre
Description
Interdire la réinitialisation du téléphone par
l’utilisateur
L’utilisateur ne peut pas rétablir les paramètres
d’usine de l’appareil via le panneau de
configuration ou par combinaison de touches.
Interdire la désinscription manuelle de MDM
L’utilisateur ne peut pas supprimer le compte
professionnel.
Copyright © Sophos Limited
Sophos Mobile
14.25.3 Configuration du compte Exchange (stratégie Windows
Mobile)
La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie
Serveur Microsoft Exchange.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Intervalle de synchronisation
L’intervalle entre les processus de
synchronisation de la messagerie.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Synchroniser les types de contenu
Copyright © Sophos Limited
Les types de contenu à synchroniser.
313
Sophos Mobile
14.25.4 Configuration Wi-Fi (stratégie Windows Mobile)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Paramètre
Description
SSID
Dans ce champ, saisissez l’identifiant du réseau
Wi-Fi.
Connexion automatique
La connexion sera établie automatiquement.
Réseau masqué
Le réseau cible n’est pas ouvert ou visible.
Type de sécurité
Sélectionnez le type de sécurité dans la liste. Si
vous sélectionnez WPA (personnel) ou WPA2
(personnel), vous devez indiquer un mot de
passe.
Proxy
Si vous sélectionnez Manuel dans la liste
déroulante, vous devez indiquer un serveur et
un port.
14.25.5 Configuration des Restrictions d’apps (stratégie
Windows Mobile)
La configuration des Restrictions d’apps vous permet d’autoriser ou de bloquer des apps spécifiques
sur les appareils.
Paramètre
Description
Apps autorisées
Comprend une série d’apps individuelles que
les utilisateurs sont autorisés à installer et à
utiliser sur leur appareil. Les utilisateurs ne
pourront pas installer ou utiliser les apps qui ne
figurent pas dans cette liste.
Utilisez Apps autorisées lorsque vous savez
quelle liste d’apps vous voulez autoriser et que
vous voulez bloquer toutes les autres apps.
Apps interdites
Comprend une série d’apps individuelles que
les utilisateurs ne sont pas autorisés à installer
sur leur appareil. Les utilisateurs pourront
installer les apps qui ne figurent pas dans cette
liste.
Utilisez Apps interdites lorsque vous savez
quelle liste d’apps vous voulez bloquer et que
vous voulez autoriser toutes les autres apps.
314
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Groupe d’apps
Sélectionnez le groupe d’apps qui contient la
liste des apps que vous voulez autoriser ou
bloquer.
Remarque
Le groupe d’apps doit d’abord être créé.
Retrouvez plus de renseignements à la
section Groupes d’apps (page 371).
14.25.6 Configuration IMAP/POP (stratégie Windows Mobile)
La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP.
Paramètre
Description
Type de compte
Le type de serveur de messagerie pour la
messagerie entrante (soit IMAP soit POP).
Nom du compte
Le nom d’affichage du compte de messagerie
sur l’appareil.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Nom d’utilisateur affiché
Le nom d’affichage de l’utilisateur pour la
messagerie sortante.
Utilisez la variable %_USERNAME_% pour
indiquer le nom de l’utilisateur assigné à
l’appareil.
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur entrant.
Domaine
La partie domaine des codes d’accès pour le
serveur entrant (si nécessaire).
Mot de passe
Le mot de passe pour la connexion au serveur
entrant (si nécessaire).
Copyright © Sophos Limited
315
Sophos Mobile
Paramètre
Description
Serveur de messagerie entrante
Le nom d’hôte (ou l’adresse IP) et le numéro du
port du serveur de messagerie entrante (serveur
entrant).
Format : nom du serveur:numéro du
port
Vous n’avez pas besoin d’indiquer le numéro du
port si le port par défaut est utilisé :
•
143 (IMAP)
•
993 (IMAP avec SSL)
•
110 (POP3)
•
995 (POP3 avec SSL)
Utiliser SSL/TLS pour la messagerie
entrante
Utiliser SSL (Secure Sockets Layer ) pour le
transfert de la messagerie entrante.
Serveur de messagerie sortante
Le nom d’hôte (ou l’adresse IP) et le numéro du
port du serveur de messagerie sortante (serveur
entrant).
Format : nom du serveur:numéro du
port
Utiliser SSL/TLS pour la messagerie
sortante
Utiliser SSL (Secure Sockets Layer ) pour le
transfert de la messagerie sortante.
Authentification obligatoire pour la
connexion sortante
Le serveur sortant exige l’authentification.
Période de synchronisation
Les mêmes codes d’accès que ceux du serveur
entrant sont utilisés comme indiqué dans les
champs Nom d’utilisateur, Domaine et Mot de
passe.
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Synchronisation automatique
316
L’intervalle de synchronisation automatique de
la messagerie.
Copyright © Sophos Limited
Sophos Mobile
14.25.7 Configuration du Certificat racine (stratégie Windows
Mobile)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.25.8 Configuration SCEP (stratégie Windows Mobile)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Paramètre
Description
Description
Une description de la configuration.
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Copyright © Sophos Limited
317
Sophos Mobile
Paramètre
Description
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Cette option vous permet de configurer une ou
plusieurs valeurs Autre nom de l’objet.
Cliquez sur Ajouter et saisissez un type et une
valeur pour l’Autre nom de l’objet.
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Nouvelles tentatives
Le nombre de nouvelles tentatives si le serveur
envoie une réponse en attente.
Délai avant la nouvelle tentative
Le nombre de secondes écoulées entre les
nouvelles tentatives.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
318
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.26 Configuration des stratégies Windows
Une stratégie Windows vous permet de configurer les paramètres des ordinateurs Windows.
14.26.1 Configuration des stratégies de mot de passe (stratégie
Windows)
La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour
les mots de passe des comptes d’utilisateur Windows.
Remarque
Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres
majuscules et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être
définies par une stratégie Sophos Mobile. Retrouvez plus de renseignements à la section Règles
de complexité des mots de passe Windows (page 116).
Remarque
Les stratégies de mot de passe ne peuvent pas être assignées aux ordinateurs Windows dans les
deux situations suivantes :
•
Des utilisateurs locaux sont configurés sur l’appareil en plus de l’utilisateur inscrit à Sophos
Mobile.
•
Un ou plusieurs utilisateurs ne sont pas autorisés à modifier leur mot de passe.
Paramètre
Description
Nombre maximal de tentatives
Le nombre de tentatives ratées de saisie du
mot de passe de connexion qu’il est possible
d’effectuer avant que l’appareil soit réinitialisé.
Saisissez une valeur entre 1 et 999 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
Copyright © Sophos Limited
319
Sophos Mobile
Paramètre
Description
Durée en minutes avant le verrouillage de
l’appareil
Le temps (en minutes) au bout duquel l’appareil
doit être verrouillé lorsqu’il n’est pas utilisé.
L’utilisateur peut déverrouiller l’appareil.
Saisissez une valeur entre 1 et 999 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
Historique du mot de passe
Le nombre de mots de passe précédemment
utilisés que Sophos Mobile conserve en
mémoire.
Lorsqu’un utilisateur crée un nouveau mot de
passe, celui-ci ne doit pas être le même qu’un
mot de passe précédemment utilisé.
Durée de validité maximale du mot de passe
en jours
Le nombre de jours après lesquels les
utilisateurs doivent changer de mot de passe.
Saisissez une valeur entre 1 et 730 ou
sélectionnez 0 si vous ne voulez pas de
restriction.
14.26.2 Configuration des restrictions (stratégie Windows)
La configuration Restrictions vous permet de définir les restrictions pour les appareils.
Appareil
320
Paramètre
Description
Interdire la carte SD
L’utilisateur ne peut plus accéder à la carte
de stockage. Ceci n’empêche pas les apps
d’accéder à la carte de stockage.
Interdire l’ajout manuel de comptes de
messagerie non Microsoft
Cette option empêche l’ajout de tous les
types de compte de messagerie ainsi que des
comptes Exchange, Office 365 et Outlook.com.
Interdire le mode de développement
Le mode de développement de Windows est
désactivé.
Interdire la caméra
Le paramètre de confidentialité Autoriser
les applications à utiliser ma caméra est
désactivé.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Désactiver la saisie semi-automatique sur
Edge
Le paramètre Enregistrer les entrées de
formulaire du navigateur Web Edge est
désactivé et ne peut pas être activé par
l’utilisateur.
Si cette case n’est pas sélectionnée, le
paramètre est activé et ne peut pas être
désactivé par l’utilisateur.
Désactiver les Outils de développement F12
sur Edge
Les Outils de développement F12 du navigateur
Web Edge ne sont plus disponibles.
Désactiver le bloqueur de fenêtres
publicitaires sur Edge
Le paramètre Bloquer les fenêtres
contextuelles du navigateur Web Edge
est désactivé et ne peut pas être activé par
l’utilisateur.
Si cette case est n’est pas sélectionnée,
le paramètre est activé et ne peut pas être
désactivé par l’utilisateur.
Désactiver les Paramètres de lecture
automatique
Désactiver les Paramètres de date et d’heure
Désactiver le Paramètre de langue
Désactiver les Paramètres d’alimentation et
de mise en veille
Désactiver les Options régionales
Les sections concernées du Panneau
de configuration Windows ne sont plus
disponibles. L’utilisateur ne peut pas modifier
ces paramètres une fois que la stratégie a été
assignée à l’appareil.
Remarque
La fonction Désactiver les Paramètres
de lecture automatique ne s’applique pas
aux appareils connectés (par exemple, les
téléphones mobiles).
Désactiver les Paramètres de connexion
Désactiver les Paramètres VPN
Désactiver les Paramètres du lieu de travail
Désactiver les Paramètres de compte
Copyright © Sophos Limited
321
Sophos Mobile
Paramètre
Description
Niveau de télémétrie
La quantité de diagnostics Windows et de données
d’utilisation que les appareils sont autorisés à envoyer.
•
Complet : toutes les données nécessaires à
l’identification et à l’analyse des problèmes.
•
Amélioré : les données sur l’utilisation et les
performances de Windows et des apps.
•
Basique : une série limitée de données
essentielles à la compréhension du fonctionnement
et de la configuration de l’appareil.
•
Sécurité : informations requises pour assurer la
protection de l’appareil avec les plus récentes
mises à jour de sécurité.
Remarque
Les niveaux sont cumulatifs en partant du niveau
inférieur au niveau supérieur. Par exemple ; le
niveau Amélioré inclut toutes les données des
niveaux Basique et Sécurité.
Conseil
Retrouvez plus de renseignements sur les
niveaux télémétriques dans l’article de Microsoft
Configurer la télémétrie Windows dans votre
organisation (lien externe).
Divers
Paramètre
Description
Interdire Cortana
Cortana est désactivée.
Interdire « Synchroniser les paramètres »
Les paramètres de l’appareil ne peuvent pas
être synchronisés vers et à partir d’autres
appareils Windows.
Désactiver les conseils Windows
Le paramètre de notification de Windows
Afficher des conseils sur Windows est
désactivé et n’est plus disponible.
Wi-Fi
322
Paramètre
Description
Interdire le partage sur Internet
Le partage de connexion Internet est désactivé.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Interdire l’Assistant Wi-Fi (connexion
automatique aux points d’accès)
L’appareil ne se connectera pas
automatiquement aux points d’accès Wi-Fi.
Interdire la configuration manuelle
L’utilisateur ne peut pas configurer d’autres
connexions Wi-Fi que celles configurées par
Sophos Mobile.
Les profils Wi-Fi d’utilisateurs et les profils Wi-Fi
Sense déjà configurés sont supprimés.
Connectivité
Paramètre
Description
Interdire Bluetooth
Bluetooth est désactivée.
Sécurité et confidentialité
Paramètre
Description
Interdire l’utilisation de la géolocalisation
lors de la recherche
La recherche ne peut pas utiliser les
informations de géolocalisation.
Désinscription
Paramètre
Description
Interdire la désinscription manuelle de MDM
L’utilisateur ne peut pas supprimer le compte
professionnel.
14.26.3 Configuration du compte Exchange (stratégie Windows)
La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie
Serveur Microsoft Exchange.
Attention
Si vous utiliser plusieurs configurations pour créer des comptes Exchange, les appareils
risquent uniquement de pouvoir récupérer les messages à partir d’un seul compte. Ceci arrive
généralement lorsque les comptes sont sur des serveurs Exchange différents et que différentes
stratégies de boîtes de réception sont définies sur ces serveurs. Les ordinateurs Windows ne
pouvant appliquer qu’une seule stratégie de boîte de réception, ils ne parviendront pas à se
connecter aux comptes utilisant une stratégie différente.
Copyright © Sophos Limited
323
Sophos Mobile
Remarque
Windows autorise l’utilisateur à refuser toutes les modifications que vous apportez à la
configuration d’Exchange.
Paramètre
Description
Nom du compte
Le nom du compte.
Serveur Exchange
L’adresse du serveur Exchange.
Si vous utilisez le proxy EAS de Sophos Mobile,
veuillez saisir l’URL du serveur proxy EAS.
Domaine
Le domaine de ce compte.
Utilisateur
L’utilisateur de ce compte.
Si vous saisissez la variable %_USERNAME_%, le
serveur la remplace par l’adresse électronique
en cours.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Mot de passe
Le mot de passe de ce compte.
Si vous ne remplissez pas ce champ, les
utilisateurs devront saisir le mot de passe sur
leurs appareils.
Période de synchronisation
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Intervalle de synchronisation
L’intervalle entre les processus de
synchronisation de la messagerie.
SSL/TLS
La connexion au serveur Exchange
est sécurisée par SSL ou TLS (selon la
compatibilité du serveur).
Nous vous conseillons de sélectionner cette
option.
Synchroniser les types de contenu
324
Les types de contenu à synchroniser.
Copyright © Sophos Limited
Sophos Mobile
14.26.4 Configuration Wi-Fi (stratégie Windows)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
Configurer manuellement
Sélectionnez Configurer manuellement pour configurer manuellement une connexion Wi-Fi.
Cette option prend uniquement en charge les connexions avec un type de sécurité WPA
(personnel) ou WPA2 (personnel).
Paramètre
Description
SSID
Dans ce champ, saisissez l’identifiant du réseau
Wi-Fi.
Connexion automatique
La connexion sera établie automatiquement.
Réseau masqué
Le réseau cible n’est pas ouvert ou visible.
Type de sécurité
Sélectionnez le type de sécurité dans la liste. Si
vous sélectionnez WPA (personnel) ou WPA2
(personnel), vous devez indiquer un mot de
passe.
Créer à partir d’une connexion existante
Sélectionnez Créer à partir d’une connexion existante pour créer une configuration Wi-Fi à partir
d’une connexion Wi-Fi existante sur un ordinateur Windows.
Paramètre
Description
Profil Wi-Fi
Téléchargez le fichier de profil d’une connexion
Wi-Fi Windows.
Retrouvez plus de renseignements sur la
création du fichier à la section Export d’un profil
Wi-Fi Windows (page 325).
14.26.5 Export d’un profil Wi-Fi Windows
Pour créer une configuration Wi-Fi à partir d’une connexion existante, vous devez tout d’abord exporter
un profil Wi-Fi Sophos Mobile à partir d’un ordinateur Windows.
Effectuez cette procédure sur un ordinateur Windows 10 sur lequel la connexion Wi-Fi est
répertoriée sous Réseaux connus.
1. Ouvrez une fenêtre d’invite de commande en tant qu’administrateur.
2. Vérifiez que le profil requis est disponible :
Copyright © Sophos Limited
325
Sophos Mobile
netsh wlan show profiles
3. Exportez le profil :
netsh wlan export profile "<SSID>" key=clear folder=<Destination>
Remplacez <SSID> par le nom du profil et <Destination> par le dossier de destination du
fichier de profil (par exemple c:\temp).
Le profil est exporté dans un fichier XML. Vous pouvez utiliser le fichier dans une configuration Wi-Fi
Sophos Mobile.
Attention
Le fichier XML contient le mot de passe Wi-Fi non chiffré. Pour des raisons de sécurité, nous
vous conseillons vivement de supprimer le fichier après l’avoir téléchargé dans Sophos Mobile.
Tâches connexes
Création d’une stratégie (page 113)
Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si
vous souhaitez gérer différents types d’appareils.
Référence associée
Configuration Wi-Fi (stratégie Windows) (page 325)
La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi.
14.26.6 Configuration du mode kiosque (stratégie Windows)
La configuration Mode kiosque vous permet d’utiliser un ordinateur Windows en mode kiosque.
Sous le mode kiosque, il est uniquement possible d’exécuter une seule app (l’app du kiosque). Le
mode kiosque est activé lorsque l’utilisateur associé au mode kiosque (l’utilisateur du kiosque) se
connecte.
Remarque
Par défaut, l’ordinateur reste en mode kiosque après son redémarrage. Pour changer ce
comportement, connectez-vous à l’ordinateur avec le compte d’utilisateur du kiosque puis dans
Paramètres > Comptes > Options de connexion, désactivez Utiliser mes infos de connexion
pour terminer automatiquement la configuration de mon appareil après une mise à jour ou
un redémarrage.
Paramètre
Description
Compte d’utilisateur
L’utilisateur associé au mode kiosque
(l’utilisateur du kiosque).
Format :
<Nom ordinateur>\<nom utilisateur>
(compte local)
<Domaine>\<nom utilisateur> (compte
de domaine)
Vous pouvez ignorer le <domaine> si le nom
d’utilisateur est unique sur tous les domaines.
326
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
ID de modèle utilisateur de l’application
L’ID de modèle utilisateur de l’application
(AUMID) de l’app qui est lancé lorsque le mode
kiosque est activé (l’app du kiosque).
Retrouvez plus de renseignements sur la
manière d’obtenir la valeur AUMID dans le
document Microsoft Comment retrouver l’’ID
de modèle utilisateur de l’application d’une app
installée.
14.26.7 Configuration IMAP/POP (stratégie Windows)
La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux
ordinateurs Windows.
Paramètre
Description
Type de compte
Le type de serveur de messagerie pour la
messagerie entrante (soit IMAP soit POP).
Nom du compte
Le nom d’affichage du compte de messagerie
sur l’appareil.
Adresse email
L’adresse électronique du compte.
Si vous saisissez la variable
%_EMAILADDRESS_%, le serveur la remplace
par l’adresse électronique en cours.
Nom d’utilisateur affiché
Le nom d’affichage de l’utilisateur pour la
messagerie sortante.
Utilisez la variable %_USERNAME_% pour
indiquer le nom de l’utilisateur assigné à
l’appareil.
Nom d’utilisateur
Le nom d’utilisateur pour la connexion au
serveur entrant.
Domaine
La partie domaine des codes d’accès pour le
serveur entrant (si nécessaire).
Mot de passe
Le mot de passe pour la connexion au serveur
entrant (si nécessaire).
Copyright © Sophos Limited
327
Sophos Mobile
Paramètre
Description
Serveur de messagerie entrante
Le nom d’hôte (ou l’adresse IP) et le numéro du
port du serveur de messagerie entrante (serveur
entrant).
Format : nom du serveur:numéro du
port
Vous n’avez pas besoin d’indiquer le numéro du
port si le port par défaut est utilisé :
•
143 (IMAP)
•
993 (IMAP avec SSL)
•
110 (POP3)
•
995 (POP3 avec SSL)
Utiliser SSL/TLS pour la messagerie
entrante
Utiliser SSL (Secure Sockets Layer ) pour le
transfert de la messagerie entrante.
Serveur de messagerie sortante
Le nom d’hôte (ou l’adresse IP) et le numéro du
port du serveur de messagerie sortante (serveur
entrant).
Format : nom du serveur:numéro du
port
Utiliser SSL/TLS pour la messagerie
sortante
Utiliser SSL (Secure Sockets Layer ) pour le
transfert de la messagerie sortante.
Authentification obligatoire pour la
connexion sortante
Le serveur sortant exige l’authentification.
Période de synchronisation
Les mêmes codes d’accès que ceux du serveur
entrant sont utilisés comme indiqué dans les
champs Nom d’utilisateur, Domaine et Mot de
passe.
La date à laquelle les emails sont synchronisés.
Seuls les emails compris dans la période
indiquée sont synchronisés dans la boîte de
réception sur l’appareil.
Synchronisation automatique
L’intervalle de synchronisation automatique de
la messagerie.
14.26.8 Configuration de Device Guard (stratégie Windows)
La configuration Device Guard vous permet de configurer la sécurité basée sur la virtualisation (VBS)
sur les ordinateurs Windows.
Remarque
Tous les paramètres sont appliqués lorsque l’ordinateur est redémarré suite à l’assignation de la
stratégie.
328
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Activer la sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) est
activé.
Configuration de Credential Guard
•
Désactiver : désactiver Credential Guard.
Cette opération ne fonctionne pas si
Credential Guard a été activé à l’aide de
l’option Activer avec le verrouillage UEFI.
•
Activer avec le verrouillage UEFI : activez
Credential Guard et assurez-vous qu’il est
impossible de le désactiver à distance.
Credential Guard peut uniquement être
désactivé dans les paramètres BIOS. Ceci
nécessite l’accès physique à l’ordinateur.
•
Activer sans le verrouillage : activer
Credential Guard.
Credential Guard peut être désactivé à
l’aide de l’option Désactiver ou d’une
stratégie de groupe Windows.
Niveau de sécurité de la plate-forme
•
Démarrage sécurisé : la sécurité basée sur
la virtualisation est activée et offre toutes les
options de protection compatibles avec le
matériel informatique.
Si l’ordinateur n’est pas équipé d’unités
de gestion de la mémoire entrante/
sortante (IOMMU), la sécurité basée sur
la virtualisation utilise la fonction UEFI de
démarrage sécurisé.
Si l’ordinateur est équipé d’IOMMU, la
sécurité basée sur la virtualisation utilise le
Démarrage sécurisé avec la protection de
l’accès direct à la mémoire (DMA).
•
Démarrage sécurisé et protection DMA :
la sécurité basée sur la virtualisation utilise
le Démarrage sécurisé avec la protection de
l’accès direct à la mémoire (DMA).
La sécurité basée sur la virtualisation
n’est pas activée si l’ordinateur n’est pas
compatible avec DMA.
Copyright © Sophos Limited
329
Sophos Mobile
14.26.9 Configuration du certificat racine (stratégie Windows)
La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.
Paramètre
Description
Fichier
Sélectionnez Télécharger un fichier puis sélectionnez un
fichier de certificat PKCS #12 (.pfx).
Nom du certificat
Le nom du certificat.
Sophos Mobile lit le nom dans le fichier de certificat.
Remarque
Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin
de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau.
Conseil
Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le
télécharger.
14.26.10 Configuration du certificat client (stratégie Windows)
La configuration Certificat du client vous permet d’installer un certificat du client sur les ordinateurs
Windows.
Paramètre
Description
Fichier
Le certificat que vous voulez installer.
Vous pouvez télécharger les certificats PEM et
PKCS #12.
Cliquez sur Télécharger un fichier et naviguez
jusqu’au fichier contenant le certificat.
Conseil
Autrement, faites glisser le fichier de l’Explorateur
de fichiers dans la zone Télécharger un fichier.
Nom du certificat
330
Suite au téléchargement du fichier de certificat,
ce champ affiche la valeur objet du certificat.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Magasin cible
Le magasin de certificat dans lequel est installé
le certificat :
Utilisateur : le certificat est disponible pour
l’utilisateur inscrit à Sophos Mobile.
Appareil : le certificat est disponible à tous les
utilisateurs de l’ordinateur.
Emplacement de la clé
L’emplacement de stockage de la clé privée du
certificat :
Logiciel : la clé est stockée dans un magasin
de clés logiciel.
TPM ou logiciel : la clé est stockée dans le
TPM s’il est disponible. Autrement, la clé est
stockée dans un magasin de clés logiciel.
TPM : la clé est stockée dans la puce matérielle
du module de plate-forme sécurisée (TPM). Si
l’ordinateur n’est pas équipé d’une puce TPM ou
si le TPM est désactivé sur le BIOS, le certificat
n’est pas installé.
Windows Hello Entreprise : la clé est stockée
dans un conteneur Windows Hello Entreprise.
Clé exportable
Les utilisateurs peuvent également exporter la
clé privée lorsqu’ils exportent le certificat.
Nom du conteneur
Le nom du conteneur Windows Hello Entreprise
dans lequel la clé privée du certificat est
stockée.
14.26.11 Configuration SCEP (stratégie Windows)
La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de
certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).
Paramètre
Description
Description
Une description de la configuration.
URL
L’adresse Web du serveur de l’Autorité de
certification.
Utilisez la variable %_SCEPPROXYURL_% pour
indiquer l’URL du serveur configurée sur l’onglet
SCEP de la page Configuration de Sophos.
Copyright © Sophos Limited
331
Sophos Mobile
Paramètre
Description
Objet
Le nom de l’entité (par exemple ; une personne
ou un appareil) qui recevra le certificat.
Vous pouvez utiliser des espaces réservés pour
les données de l’utilisateur ou les propriétés de
l’appareil.
La valeur que vous saisissez (remplacement
des espaces réservés par des données) doit
être un nom X.500 valable.
Par exemple :
Autre nom de l’objet
•
Saisissez CN=%_USERNAME_% pour indiquer un
utilisateur.
•
Saisissez CN=%_DEVPROP(serial_number)_%
pour un appareil Android.
Cette option vous permet de configurer une ou
plusieurs valeurs Autre nom de l’objet.
Cliquez sur Ajouter et saisissez un type et une
valeur pour l’Autre nom de l’objet.
Challenge
L’adresse Web permettant de récupérer un
mot de passe de challenge à partir du serveur
SCEP.
Utilisez la variable %_CACHALLENGE_% pour
indiquer l’URL de challenge configurée sur
l’onglet SCEP de la page Configuration de
Sophos.
Certificat racine
Le certificat de l’Autorité de certification.
Sélectionnez le certificat dans la liste. La liste
contient tous les certificats que vous avez
chargés dans la configuration Certificat racine
de la stratégie actuelle.
Nouvelles tentatives
Le nombre de nouvelles tentatives si le serveur
envoie une réponse en attente.
Délai avant la nouvelle tentative
Le nombre de secondes écoulées entre les
nouvelles tentatives.
Taille de la clé
La taille de la clé publique dans le certificat
émis.
Assurez-vous que la valeur indiquée
correspond à la taille configurée sur le serveur
SCEP.
332
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Utilisation du certificat
Sélectionnez comment le certificat peut être
utilisé.
Utiliser en tant que signature numérique : Le
certificat peut être utilisé en tant que signature
numérique.
Utiliser pour le chiffrement : Le certificat peut
être utilisé pour le chiffrement des données.
14.27 Configuration des stratégies Chrome
Security
Une stratégie Chrome Security vous permet de configurer les paramètres de l’extension Sophos
Chrome Security lorsqu’elle est inscrite à Sophos Mobile.
14.27.1 Configuration du filtrage Web (stratégie Chrome
Security)
La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de l’extension Sophos
Chrome Security . Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants
ou au contenu indésirable ou illégal.
Attention
Le filtrage Web bloque tous les sites Web si un appareil ne peut pas se connecter au service de
classification des sites Web Sophos https://4.sophosxl.net/lookup.
Conseil
Pour tester le filtrage de sites Web, Sophos a créé le site sophostest.com qui contient des
exemples de page pour chaque catégorie. Même si certaines de ces pages sont classées comme
potentiellement offensantes ou dangereuses, leur contenu est sans danger dans tous les cas.
Lorsque vous activez le filtrage Web, Sophos Mobile bloque toujours les pages Web classées
comme activités criminelles hautement répréhensibles, telles que la pornographie juvénile. Pour
empêcher d’autres personnes d’accéder à ces pages, Sophos Mobile masque les URL dans les
journaux, les événements et les rapports.
Paramètres
Paramètre
Description
Filtrer les sites Web malveillants
Sélectionnez si les utilisateurs sont autorisés à
accéder à des sites Web au contenu malveillant.
Copyright © Sophos Limited
333
Sophos Mobile
Paramètre
Description
Créer des alertes
Sélectionnez si une alerte va être générée
lorsque l’utilisateur tente d’accéder à un site
Web filtré.
Vous pouvez également choisir de créer des
alertes uniquement pour les blocages ou pour
les avertissements.
Vérification du contenu imbriqué
Les pages Web sont filtrées selon leur propre
contenu et selon le contenu imbriqué (encarts
publicitaires, etc.) Par exemple, si vous décidez
de Bloquer la catégorie Jeux d’argent, tous
les sites de ce genre ainsi que les publicités les
concernant seront bloqués.
Si vous désactivez cette option, le filtrage Web
ne tiendra compte du contenu imbriqué que s’il
est malveillant.
Filtrer les sites Web par catégorie
Sélectionnez si les utilisateurs peuvent accéder
à certains types de sites Web.
Les sites Web sont classés par catégorie
en fonction des données collectées par les
SophosLabs. Ces données sont constamment
mises à jour.
Exceptions de site Web
Configurer les exceptions aux filtres de
catégories :
Domaines autorisés : Sites Web autorisés
même s’ils appartiennent à une catégorie
bloquée.
Domaines bloqués : Sites Web bloqués même
s’ils appartiennent à une catégorie autorisée.
Comment indiquer des exceptions de site Web
Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne
(sans séparateur) :
•
Adresse IPv4 ou IPv6
203.0.113.0
2001:db8:85a3:0:0:8a2e:370:7334
•
Sous-réseau IPv4 ou IPv6
203.0.113.0/24
2001:db8::/32
•
Domaine
www.example.com
334
Copyright © Sophos Limited
Sophos Mobile
•
Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le
caractère situé le plus à gauche.
*.example.com
*example.com
Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer
tous les sites Web.
Les adresses IP et les sous-réseaux sont ignorés si l’utilisateur indique un site Web par son nom de
domaine.
Logique de filtrage
Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est
prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par
rapport aux listes définies par l’utilisateur.
Les règles de filtrage sont appliquées dans l’ordre suivant :
1. Si le site Web est inclus dans Domaines autorisés, il est autorisé.
2. Si le site Web est inclus dans Domaines bloqués, il est bloqué.
3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé.
4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué.
5. Le site Web est autorisé ou bloqué en fonction de sa catégorie.
Copyright © Sophos Limited
335
Sophos Mobile
15 Séries de tâches
L’utilisation des séries de tâches vous permet de regrouper plusieurs tâches en une seule transaction.
Par exemple, vous pouvez regrouper toutes les tâches pour inscrire et configurer un appareil :
•
Inscrire l’appareil.
•
Assigner les stratégies requises.
•
Installer les applis requises (par exemple, les applis administrées pour les appareils iOS)
Vous pouvez également inclure les commandes de réinitialisation dans les séries de tâches afin de
réinitialiser automatiquement les appareils non conformes (par exemple, les appareils débridés ou
disposant des droits root). Retrouvez plus de renseignements à la section Stratégies de conformité
(page 34).
Les séries de tâches sont disponibles pour les plates-formes suivantes :
•
Android
•
iOS et iPadOS
•
macOS
•
Windows
•
Chrome OS
15.1 Création d’une série de tâches
Créez des séries de tâches distinctes pour Android, iOS et les autres plates-formes d’appareils que
vous souhaitez gérer.
Pour créer une série de tâches :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Séries de tâches puis, sélectionnez la
plate-forme pour laquelle vous souhaitez créer la série de tâches.
2. Sur la page Séries de tâches, sélectionnez Créer une série de tâches.
3. Sur la page Modification de la série de tâches, saisissez le nom et la description (facultatif) de la
série de tâches.
La version est automatiquement mise à jour à chaque fois que vous enregistrez la série de tâches.
4. Facultatif : Si vous sélectionnez Sélectionnable pour les actions de conformité, vous pouvez
transférer la série de tâches sur les appareils lorsqu’ils ne sont plus conformes.
Vous le configurer dans une stratégie de conformité.
5. Facultatif : Pour les séries de tâches, sélectionnez Ignorer les échecs d’installation d’applis
pour continuer à traiter la série de tâches même en cas d’échec de l’installation de l’app.
Cette option est uniquement disponible si la série de tâches inclut une tâche Installer l’appli.
6. Sélectionnez Ajouter une tâche puis sélectionnez un type de tâche.
7. Saisissez les informations requises et sélectionnez Appliquer pour créer la tâche.
Le nom de la tâche s’affiche dans Sophos Mobile Self Service Portal lorsque la série de tâches
est appliquée.
8. Facultatif : Ajoutez d’autres tâches à la série de tâches, par exemple pour installer des applis ou
pour afficher un message sur l’appareil.
336
Copyright © Sophos Limited
Sophos Mobile
Remarque
Vous ne pouvez pas combiner les tâches Android et Android Enterprise.
9. Facultatif : Modifiez l’ordre des tâches à l’aide des icônes en forme de flèches à droite de la liste
des tâches.
Concepts connexes
Types de tâche (Android) (page 337)
Types de tâches (iOS, iPadOS) (page 340)
Types de tâche (macOS) (page 343)
Types de tâche (Windows) (page 344)
Types de tâche (Chrome OS) (page 346)
15.2 Types de tâche (Android)
Les types de tâche suivants sont disponibles pour les séries de tâches Android :
Inscrire
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Inscrire le conteneur Sophos
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Assigner une stratégie
Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la
section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière
transparente.
Désinstaller la stratégie
Sous Sélectionner la source, sélectionnez Stratégies puis sélectionnez une stratégie dans la liste.
En plus des stratégies créées dans Sophos Mobile, la liste inclut toutes les stratégies installées sur
un appareil géré.
Copyright © Sophos Limited
337
Sophos Mobile
Il est également possible de désinstaller une stratégie qui n’est pas répertoriée à condition d’en
connaitre l’identifiant.
Vous pouvez uniquement désinstaller que les stratégies d’appareils Android et les stratégies de
conteneur Knox. Pour les autres types de stratégie, mettez à jour la stratégie, attribuez une stratégie
différente ou désinscrivez l’appareil.
Installer l’appli
Sélectionnez une appli dans la liste des applis disponibles. Retrouvez plus de renseignements sur
l’ajout d’applis à la liste à la section Ajout d’une app (page 349).
Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son
appareil lui indiquant que Sophos Mobile veut installer l’appli. L’utilisateur peut appuyer sur OK pour
démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte période
de temps.
Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche
échoue.
Si l’appli est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.
Installer l’appli Google Play d’entreprise
Ce type de tâche est disponible si vous avez configuré Android Enterprise pour le client.
Sélectionnez une appli dans la liste des applis de la boutique Google Play gérée que vous avez
approuvées pour votre entreprise. Retrouvez plus de renseignements sur l’ajout d’applis à la liste à
la section Modification de l’app de la boutique Google Play gérée (page 389).
La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’appli
sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été
transmise à Google.
Vous avez également la possibilité d’installer des applis à partir de la page Applis - Android
Enterprise. Retrouvez plus de renseignements à la section Installer l’app Google Play d’entreprise
(page 393).
Retrouvez plus de renseignements sur la désinstallation d’une appli des appareils à la section
Désinstallation d’une app de la boutique Google Play gérée (page 394).
Désinstaller l’appli
Dans Sélectionner la source, sélectionnez Applis pour sélectionner dans la liste des applis
disponibles.
En plus des applis disponibles sur le serveur Sophos Mobile, la liste inclut des applis utilisées sur les
appareils administrés à l’exception des applis du système Android et des apps préinstallées par le
fabricant de l’appareil.
Vous pouvez également désinstaller une appli ne figurant pas dans la liste. Sélectionnez Identifiant
et saisissez le nom du package de l’appli que vous voulez désinstaller des appareils. Si vous
sélectionnez Appli du conteneur Knox, l’appli sera désinstallée du conteneur Samsung Knox.
Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son
appareil lui indiquant que Sophos Mobile veut désinstaller l’app. L’utilisateur peut appuyer sur OK
pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte
période de temps.
338
Copyright © Sophos Limited
Sophos Mobile
Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche
échoue.
Si l’appli n’est pas installée sur un appareil qui reçoit la tâche, aucune notification n’apparaît.
Envoyer un message
Saisissez le texte à afficher en clair sur les appareils.
Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre
de notification. Les utilisateurs peuvent afficher les anciens messages dans l’appli Sophos Mobile
Control.
Désinscrire
Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile.
Retrouvez plus de renseignements à la section Désinscription des appareils (page 52). L’utilisateur
de l’appareil n’a pas besoin de confirmer l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Réinitialiser
Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs
paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.
Attention
Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils
recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer
l’opération.
Remarque
Lorsqu’une tâche Réinitialiser est transférée sur un appareil de profil professionnel Android
Enterprise, seul le profil professionnel et toutes les applis de la boutique Google Play
d’entreprise sont supprimées.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Conteneur Knox : verrouiller
Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le
conteneur Knox est verrouillé.
Conteneur Knox : déverrouiller
Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le
conteneur Knox est déverrouillé.
Copyright © Sophos Limited
339
Sophos Mobile
Conteneur Knox : réinitialiser le mot de passe
Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le mot
de passe du conteneur Knox est réinitialisé. L’utilisateur doit créer un nouveau mot de passe pour
déverrouiller le conteneur Knox.
Conteneur Knox : supprimer
Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le
conteneur Knox (notamment la configuration du conteneur) est supprimé.
Contrôler la présence de malwares
Lorsque la tâche est transférée sur un appareil, Sophos Intercept X for Mobile le contrôle à la
recherche de malwares et d’applis potentiellement indésirables (PUA).
Cette tâche nécessite que Sophos Intercept X for Mobile soit gérée par Sophos Mobile.
15.3 Types de tâches (iOS, iPadOS)
Les types de tâche suivants sont disponibles pour les séries de tâches iOS :
Inscrire
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Inscrire le conteneur Sophos
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Assigner une stratégie
Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la
section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière
transparente.
340
Copyright © Sophos Limited
Sophos Mobile
Désinstaller la stratégie
Sous Sélectionner la source, sélectionnez Stratégies puis sélectionnez une stratégie dans la liste.
En plus des stratégies créées dans Sophos Mobile, la liste inclut toutes les stratégies installées sur
un appareil géré.
Il est également possible de désinstaller une stratégie qui n’est pas répertoriée à condition d’en
connaitre l’identifiant.
Vous pouvez uniquement désinstaller les stratégies d’appareil iOS. Pour les autres types de
stratégie, mettez à jour la stratégie, attribuez une stratégie différente ou désinscrivez l’appareil.
Installer le profil d’approvisionnement
Sélectionnez un profil d’enregistrement de l’appli dans la liste des profils disponibles. Retrouvez
plus de renseignements sur l’ajout de profils à la liste à la section Importer un profil d’enregistrement
(iOS, iPadOS) (page 115).
Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est installé de manière
transparente pour l’utilisateur.
Désinstaller le profil d’approvisionnement
Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil d’enregistrement
dans la liste.
En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utilisés sur les
appareils administrés.
Vous pouvez également supprimer un profil d’enregistrement ne figurant pas dans la liste.
Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez supprimer des appareils.
Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est supprimé de
manière transparente pour l’utilisateur.
Reconfigurer l’appli SMC
Lorsque la tâche est transférée à l’appareil, l’utilisateur est invité à lire le code QR ou à saisir les
informations de configuration manuellement. Cette opération reconnecte une appli Sophos Mobile
Control déjà installée au serveur.
Remarque
Cette tâche doit être précédée par une tâche Installer l’appli pour l’appli Sophos Mobile Control.
Installer l’appli
Sélectionnez une appli dans la liste des applis disponibles. Retrouvez plus de renseignements sur
l’ajout d’applis à la liste à la section Ajout d’une app (page 349).
Copyright © Sophos Limited
341
Sophos Mobile
Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son
appareil lui indiquant que Sophos Mobile veut installer l’appli. L’utilisateur peut appuyer sur Installer
pour démarrer l’opération ou sur Annuler pour refuser l’installation.
Si l’utilisateur refuse l’installation, la tâche échoue.
Si l’appli est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.
Désinstaller l’appli
Dans Sélectionner la source, sélectionnez Applis pour sélectionner dans la liste des applis
disponibles.
En plus des applis disponibles sur le serveur Sophos Mobile, la liste inclut des applis utilisées sur les
appareils administrés à l’exception des applis du système.
Vous pouvez également désinstaller une appli ne figurant pas dans la liste. Sélectionnez Identifiant
et saisissez l’identifiant du package de l’appli que vous voulez désinstaller des appareils.
Lorsque cette tâche est transférée sur les appareils, l’appli est désinstallée de manière transparente
pour l’utilisateur.
Installer la dernière mise à jour iOS
Lorsque la tâche est transférée aux appareils, la dernière version disponible d’iOS ou d’iPadOS est
installée. Selon le modèle d’appareil, différentes mises à jour pourraient être installées.
Vous pouvez mettre à jour iOS et iPadOS sur les types d’appareil suivants :
•
Appareils supervisés
•
Appareils Apple DEP supervisés
Pour les autres appareils, la tâche échouera.
Envoyer un message
Saisissez le texte à afficher en clair sur les appareils.
Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre
de notification. Les utilisateurs peuvent afficher les anciens messages dans l’appli Sophos Mobile
Control.
Désinscrire
Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile.
Retrouvez plus de renseignements à la section Désinscription des appareils (page 52). L’utilisateur
de l’appareil n’a pas besoin de confirmer l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Réinitialiser
Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs
paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.
342
Copyright © Sophos Limited
Sophos Mobile
Attention
Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils
recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer
l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
15.4 Types de tâche (macOS)
Les types de tâche suivants sont disponibles pour les séries de tâches macOS :
Inscrire
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Assigner une stratégie d’appareil
Sélectionnez une stratégie dans la liste des stratégies d’appareil macOS disponibles. Retrouvez plus
de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à
l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée.
Assigner une stratégie d’utilisateur
Sélectionnez une stratégie dans la liste des stratégies d’utilisateur macOS disponibles. Retrouvez
plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à
l’appareil. Si une stratégie d’utilisateur a déjà été assignée, elle est remplacée.
Les stratégies d’utilisateur seront appliquées aux utilisateurs à leur prochaine connexion au Mac.
Installer l’appli
Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur
l’ajout d’applis à la liste à la section Ajout d’une app (page 349).
Lorsque cette tâche est transférée sur les appareils, l’app est installée de manière transparente.
Les fichiers de package PKG peuvent contenir plusieurs apps. Dans ce cas, toutes les apps sont
installées.
Copyright © Sophos Limited
343
Sophos Mobile
Remarque
Un état des tâches Succès signifie que l’appareil a commencé à télécharger l’app. Pour vous
assurer que l’app a bien été installée, synchronisez l’appareil et vérifiez la liste des apps installées
sur la page des informations sur l’appareil.
Retirer l’assignation de l’appli VPP
Sélectionnez une app dans la liste des apps du Programme d’achat en volume macOS disponibles.
Lorsque la tâche est transférée aux appareils, la licence du Programme d’achat en volume est
supprimée des appareils auxquels elle était assignée.
Les utilisateurs peuvent continuer à utiliser l’app pendant 30 jours.
Désinscrire
Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile.
Retrouvez plus de renseignements à la section Désinscription des appareils (page 52). L’utilisateur
de l’appareil n’a pas besoin de confirmer l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Réinitialiser
Créez un code confidentiel de verrouillage du système à 6 chiffres.
Lorsque la tâche est transférée au Mac, il redémarre et commence à réinitialiser le disque.
L’utilisateur doit saisir le code confidentiel de verrouillage du système sur le Mac pour le
déverrouiller.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Attention
Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils
recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer
l’opération.
Conseil
Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché
sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails
de la tâche sous Code confidentiel de verrouillage.
15.5 Types de tâche (Windows)
Les types de tâche suivants sont disponibles pour les séries de tâches Windows :
344
Copyright © Sophos Limited
Sophos Mobile
Inscrire
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Assigner une stratégie
Sélectionnez une stratégie dans la liste des stratégies d’appareil disponibles. Retrouvez plus de
renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à
l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée.
Installer une app
Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur
l’ajout d’applis à la liste à la section Ajout d’une app (page 349).
Lorsque cette tâche est transférée sur les appareils, l’app est installée de manière transparente pour
l’utilisateur.
Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.
Désinstaller l’app
Sélectionnez une app dans la liste des apps disponibles.
La liste inclut les apps que vous avez configurées sur le serveur Sophos Mobile et les apps
installées sur tous les ordinateurs Windows administrés à l’exception des apps du système
Windows.
Lorsque cette tâche est transférée sur les appareils, l’app sélectionnée est désinstallée de manière
transparente pour l’utilisateur.
Remarque
Vous pouvez uniquement désinstaller les apps qui ont été installées par Sophos Mobile. Si vous
essayez de désinstaller une app installée par l’utilisateur, la tâche échoue.
Désinscrire
Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile.
Retrouvez plus de renseignements à la section Désinscription des appareils (page 52). L’utilisateur
de l’appareil n’a pas besoin de confirmer l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
Copyright © Sophos Limited
345
Sophos Mobile
Réinitialiser
Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs
paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.
Attention
Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils
recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer
l’opération.
Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série
de tâches.
15.6 Types de tâche (Chrome OS)
Les types de tâche suivants sont disponibles pour les séries de tâches Chrome OS :
Inscrire
Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse
email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour
inscrire son appareil.
Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée.
Assigner une stratégie
Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la
section Stratégies (page 111).
Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière
transparente.
Envoyer un message
Saisissez le texte à afficher en clair sur les appareils.
Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre
de notification. Les utilisateurs peuvent afficher les anciens messages dans l’extension Sophos
Chrome Security.
Désinscrire
Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile.
Retrouvez plus de renseignements à la section Désinscription des appareils (page 52). L’utilisateur
de l’appareil n’a pas besoin de confirmer l’opération.
346
Copyright © Sophos Limited
Sophos Mobile
15.7 Duplication de séries de tâches
Vous pouvez dupliquer une série de tâches pour l’utiliser comme point de départ à d’autres série de
tâches.
Lorsque vous devez créer des séries de tâches similaires, il est plus facile de dupliquer une série de
tâches déjà existante et de modifier le doublon.
Pour dupliquer une série de tâches :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Séries de tâches puis une plate-forme
d’appareil.
2. Sur la page Séries de tâches, sélectionnez le triangle bleu correspondant à la série de tâches que
vous souhaitez dupliquer et cliquez sur Dupliquer.
La série de tâches est dupliquée.
15.8 Transférer des séries de tâches
Vous pouvez transférer des séries de tâches aux appareils ou groupes d’appareils
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis sur Android ou
iOS et iPadOS.
La page Séries de tâches apparaît.
2. Cliquez sur le triangle bleu correspondant à la tâche de votre choix et cliquez sur Transférer.
La page Sélection des appareils apparaît.
3. Cette page vous permet de :
•
Sélectionner les appareils individuels sur lesquels vous voulez transférer la série de tâches.
•
Cliquez sur Sélectionner les groupes d’appareils pour ouvrir la page Sélectionner les
groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils sur lesquels
transférer la série de tâches.
4. Après avoir fait votre sélection, cliquez sur Suivant.
La page Définir la date d’exécution apparaît.
5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heure d’exécution de
cette tâche.
6. Cliquez sur Terminer.
La page Vue des tâches apparaît.
La série de tâches est transférée aux appareils sélectionnés à l’heure et à la date indiquées.
Copyright © Sophos Limited
347
Sophos Mobile
16 Applis
Vous configurez les appli pour qu’elles soient disponibles à l’installation à partir de Sophos
Mobile Admin (effectuée par l’administrateur) ou dans l’app Sophos Mobile Control (effectuée par
l’utilisateur).
La gestion des applis est disponible pour les plates-formes suivantes :
•
Android
•
iOS et iPadOS
•
macOS
•
Windows
•
Windows Mobile
Vous pouvez mettre une appli à disposition dans Sophos Mobile d’une des manières suivantes :
•
Téléchargez le package de l’appli sur le serveur Sophos Mobile. Cette option n’est pas disponible
sur les applis Windows Mobile ou sur les appareils sur lesquels Sophos Mobile administre
uniquement le conteneur Sophos.
•
Fournissez un lien vers l’appli dans la boutique d’applis adéquate.
Retrouvez plus de renseignements sur les deux options à la section Ajout d’une app (page 349).
Pour installer une appli sur un appareil, créez une série de tâches contenant la tâche Installer
l’appli. Pour les appareils Android, les iPhones et les iPads, vous pouvez créer ces séries de tâches
directement à partir de la page Applis. Retrouvez plus de renseignements à la section Installer une
app (page 350).
Remarque
Pour pouvoir installer les packages de l’appli stockés sur le serveur Sophos Mobile (à la différence
de l’installation à partir de la boutique d’applis), les conditions suivantes doivent être respectées :
348
•
Sur Android, le paramètre de sécurité Sources inconnues doit être activé sur les appareils.
Si vous essayez d’installer un fichier APK lorsque le paramètre Sources inconnues est
désactivé, l’appli Sophos Mobile Control redirige l’utilisateur sur la page depuis laquelle il
pourra activer le paramètre. Cette restriction ne s’applique pas aux appareils avec LG GATE,
Samsung Knox ou Sony Enterprise API.
•
Pour les iPhones et les iPads, l’installation des applis à partir des fichiers IPA est uniquement
possible pour les applis développées en interne. Lorsque l’app est prête à être distribuée,
veuillez créer un profil d’enregistrement pour l’appli et la mettre à disposition sur les appareils
soit en l’ayant installée séparément auparavant soir en l’ayant incluse au fichier IPA de
l’appli. Vous pouvez utiliser Sophos Mobile pour distribuer les profils d’enregistrement sur
vos iPhones et iPads. Retrouvez plus de renseignements à la section Importer un profil
d’enregistrement (iOS, iPadOS) (page 115). Retrouvez plus de renseignements sur les profils
d’enregistrement sur iOS Developer Library.
Copyright © Sophos Limited
Sophos Mobile
16.1 Ajout d’une app
Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli
soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate.
Retrouvez plus de renseignements sur les applis sur les appareils Android Enterprise à la section
Validation d’une app Google Play d’entreprise (page 388).
Pour ajouter une appli à Sophos Mobile :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur
laquelle vous souhaitez ajouter l’appli.
2. Pour ajouter une appli pour les appareils Android sur lesquels Sophos Mobile est administrateur de
l’appareil, cliquez sur Android (ancienne version) sur la page Applis - Android Enterprise.
3. Cliquez sur Ajouter une appli et sélectionnez l’option requise :
•
Lien Android : ajoutez une appli Android grâce à un lien vers Google Play.
•
Package Android : ajoutez une appli Android en téléchargeant le fichier APK dans Sophos
Mobile.
•
Lien iOS : ajoutez une appli iOS grâce à un lien vers l’App Store.
•
Package iOS : ajoutez une appli d’entreprise iOS en téléchargeant le fichier IPA dans Sophos
Mobile.
•
Package macOS : ajoutez une appli d’entreprise macOS en téléchargeant le fichier PKG dans
Sophos Mobile.
•
Lien Windows Mobile : ajoutez une appli Windows Mobile grâce à un lien vers la boutique
Microsoft.
•
Lien Windows MSI : ajoutez une appli Windows grâce à un lien vers son fichier d’installation
MSI.
•
Lien de la boutique Microsoft : ajoutez une appli Windows grâce à un lien vers la boutique
Microsoft.
4. Pour les applis iOS et macOS du Programme d’achat en volume (VPP), cliquez sur Importation
d’applis du Programme d’achat en volume pour charger la liste des applis que vous avez
achetées via le Programme d’achat en volume d’Apple. Retrouvez plus de renseignements à la
section Gestion des apps du Programme d’achat en volume d’Apple (page 363).
5. Configurez les paramètres de l’appli de manière adéquate.
6. Cliquez sur Enregistrer pour enregistrer les paramètres de l’appli et revenir sur la page Applis.
L’appli est prête à être installée. Elle apparaît sur la page Applis. Si vous avez configuré la champ
Disponible pour les groupes d’appareils, l’appli apparaît également dans l’App Store pour entreprise
de l’appli Sophos Mobile Control à partir de laquelle les utilisateurs peuvent l’installer. Le processus
d’installation nécessite peu ou pas d’intervention de la part de l’utilisateur.
Remarque
Sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos, les
applis que vous ajoutez en téléchargeant le fichier APK (pour les applis Android) ou le fichier IPA
(pour les applis iOS) ne sont pas disponibles.
Référence associée
Paramètres de l’appli (Android) (page 352)
Copyright © Sophos Limited
349
Sophos Mobile
Paramètres de l’appli (iOS, iPadOS) (page 354)
Paramètres de l’app (macOS) (page 357)
Paramètres de l’appli (Windows Mobile) (page 359)
Paramètres de l’appli (Windows) (page 360)
16.2 Installer une app
Après avoir ajouté une appli dans Sophos Mobile, vous pouvez l’installer sur les appareils ou groupes
d’appareils sélectionnés.
Ces instructions ne s’appliquent pas aux appareils suivants :
•
Appareils Android Enterprise. Retrouvez plus de renseignements sur l’installation des applis sur
ces appareils à la section Installer l’app Google Play d’entreprise (page 393).
•
Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Vous
pouvez uniquement installer Sophos Secure Workspace et Sophos Secure Email sur ces appareils.
Retrouvez plus de renseignements à la section Gestion des applis du conteneur Sophos (page
419).
Pour installer une appli :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur
laquelle vous souhaitez installer une app.
2. Sur la page Applis, cliquez sur le triangle bleu correspondant à l’appli de votre choix et cliquez sur
Installer.
Pour ouvrir la page Applis des appareils Android sur lesquels Sophos Mobile est administrateur
de l’appareil, cliquez sur Android (ancienne version) sur la page Applis - Android Enterprise.
3. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une des manières
suivantes :
•
Sélectionnez chaque appareil individuellement.
•
Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes
d’appareils.
4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’appli sera installée :
•
Sélectionnez Maintenant pour une exécution immédiate.
• Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée.
5. Cliquez sur Terminer.
L’appli sélectionnée est installée sur les appareils sélectionnés à l’heure indiquée.
350
Copyright © Sophos Limited
Sophos Mobile
Remarque
Sur les appareils suivants, les applis administrées sont installées silencieusement, c’est-à-dire
sans qu’aucune intervention de l’utilisateur ne soit requise.
•
iPhones et iPads supervisés
•
Appareils Android Enterprise
•
Appareils Android avec Samsung Knox
•
Appareils Android avec LG GATE
•
Appareils Android à partir du niveau 8 de Sony Enterprise API
•
Macs
•
Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app.
Pour les appareils Samsung, LG et Sony mentionnés dans la liste ci-dessus, les fichiers APK sont
installés silencieusement mais les applis installées depuis Google Play ne le sont pas.
Conseil
Vous pouvez voir l’état de la tâche d’installation sur la page Vue des tâches.
Conseil
Vous pouvez également installer une appli en utilisant l’une des options suivantes :
•
Pour installer une appli sur un seul appareil : Sur la page Affichage de l’appareil de
l’appareil, sélectionnez l’onglet Applis installées et cliquez sur Installer l’appli.
•
Pour installer une appli sur plusieurs appareils : Sur la page Appareils, sélectionnez les
appareils et cliquez sur Actions > Installer l’appli.
•
Pour installer une appli sur un ou plusieurs appareils dans le cadre d’une série de tâches :
Ajoutez une tâche Installer l’appli à la série de tâches et transférez-la aux appareils ou
groupes d’appareils requis.
16.3 Désinstallation de l’app
Vous pouvez désinstaller une appli des appareils ou groupes d’appareils sélectionnés.
Ces instructions ne s’appliquent pas aux appareils suivants :
•
Appareils Android Enterprise. Retrouvez plus de renseignements sur la désinstallation des applis
de ces appareils à la section Désinstallation d’une app de la boutique Google Play gérée (page
394).
•
Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos.
Pour désinstaller une appli :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur
laquelle vous souhaitez désinstaller une appli.
2. Sur la page Applis, cliquez sur Désinstaller.
Pour ouvrir la page Applis des appareils Android sur lesquels Sophos Mobile est administrateur
de l’appareil, cliquez sur Android (ancienne version) sur la page Applis - Android Enterprise.
Copyright © Sophos Limited
351
Sophos Mobile
3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des
manières suivantes :
•
Sélectionnez chaque appareil individuellement.
•
Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes
d’appareils.
4. Sur la page Sélectionner une appli, sélectionnez l’appli requise.
5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’appli sera désinstallée :
•
Sélectionnez Maintenant pour une exécution immédiate.
• Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée.
6. Cliquez sur Terminer.
L’appli sélectionnée est désinstallée des appareils sélectionnés à l’heure indiquée.
Remarque
Sur les appareils suivants, les applis administrées sont désinstallées silencieusement, c’est-à-dire
sans qu’aucune intervention de l’utilisateur ne soit requise.
•
Applis gérées sur les iPhones et iPads supervisés
•
Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app.
Conseil
Vous pouvez également choisir de suivre la procédure de désinstallation de l’appli d’un seul
appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Applis
installées, cliquez sur la corbeille correspondant au nom de l’appli.
16.4 Paramètres de l’appli (Android)
Retrouvez plus de renseignements sur les applis sur les appareils Android Enterprise à la section
Paramètres des apps de la boutique Google Play gérée (page 390).
Paramètres généraux
Paramètre
Description
Nom
Le nom de l’appli.
Version
La version affichée dans l’App Store pour
entreprise.
Pour les liens vers les applis, Sophos Mobile
utilise la version de Google Play.
352
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Identifiant de l’appli
L’identifiant interne de l’appli.
Pour les liens vers les applis, cliquez sur
Récupérer les données pour obtenir la valeur
de Google Play.
Pour les packages d’applis, Sophos Mobile
récupère la valeur dans le fichier APK.
Catégorie d’appli
Un nom de catégorie, par exemple
Productivité.
Lorsque vous mettez une appli à disposition
dans l’App Store pour entreprise, l’appli
apparaîtra sous ce nom dans une section.
Disponible pour les groupes d’appareils
Vous pouvez mettre l’appli à disposition
dans l’App Store pour entreprise afin que
l’utilisateur puisse l’installer. Cliquez sur
Afficher et sélectionnez un ou plusieurs
groupes d’appareils pour lesquels l’appli figurera
dans l’App Store pour entreprise.
Description
La description de l’appli est affichée dans l’App
Store pour entreprise.
Vous pouvez utiliser l’espace réservé
%_appstoretext_% partout où vous le
souhaitez dans la description. Dans l’App
Store pour entreprise, il sera remplacé par la
description actuelle de l’appli issue de Google
Play.
Installer dans le conteneur Knox
Pour les appareils Samsung Knox, l’appli sera
installée dans le conteneur Knox.
Ce paramètre est uniquement disponible si
vous avez configuré une licence Samsung
Knox.
Copyright © Sophos Limited
353
Sophos Mobile
Paramètres pour les liens des applis
Paramètre
Description
Lien
L’URL de l’appli dans Google Play.
Pour déterminer l’URL, cliquez sur Aller sur
Google Play pour ouvrir Google Play dans un
nouvel onglet de votre explorateur et rendezvous sur la page de l’app. Copiez ensuite l’URL
à partir de la barre d’adresse de l’onglet du
navigateur et copiez la dans le champ Lien.
Après avoir saisi l’URL, cliquez sur Récupérer
les données pour remplir le champ Identifiant
de l’appli automatiquement.
Paramètres pour les packages d’applis
Paramètre
Description
Télécharger un fichier
Cliquez sur Télécharger un fichier pour
télécharger l’appli sur le serveur Sophos Mobile.
Naviguez jusqu’au fichier APK et cliquez sur
Ouvrir.
Conseil
Autrement, faites glisser le fichier de l’Explorateur
de fichiers dans la zone Télécharger un fichier.
Tâches connexes
Ajout d’une app (page 349)
Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli
soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate.
16.5 Paramètres de l’appli (iOS, iPadOS)
Paramètres généraux
Paramètre
Description
Nom
Le nom de l’app.
Pour les applis du programme d’achat en
volume d’Apple (VPP), ce champ est en lecture
seule.
354
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Version
La version affichée dans l’App Store pour
entreprise.
Pour les liens vers les applis, Sophos Mobile
utilise la version de l’App Store.
Pour les applis du programme d’achat en
volume d’Apple (VPP), ce champ est en lecture
seule.
Identifiant de l’appli
L’identifiant interne de l’app.
Sophos Mobile le récupère depuis l’App Store
ou dans le fichier IPA.
Pour les applis du programme d’achat en
volume d’Apple (VPP), ce champ est en lecture
seule.
Catégorie d’appli
Un nom de catégorie, par exemple
Productivité.
Lorsque vous mettez une appli à disposition
dans l’App Store pour entreprise, l’appli
apparaîtra sous ce nom dans une section.
Disponible pour les groupes d’appareils
Vous pouvez mettre l’appli à disposition
dans l’App Store pour entreprise afin que
l’utilisateur puisse l’installer. Cliquez sur
Afficher et sélectionnez un ou plusieurs
groupes d’appareils pour lesquels l’appli figurera
dans l’App Store pour entreprise.
Description
La description de l’appli est affichée dans l’App
Store pour entreprise.
Vous pouvez utiliser l’espace réservé
%_appstoretext_% partout où vous le
souhaitez dans la description. Dans l’App
Store pour entreprise, il sera remplacé par la
description actuelle de l’appli issue de l’App
Store.
Copyright © Sophos Limited
355
Sophos Mobile
Paramètres pour les liens des applis
Paramètre
Description
Rechercher dans l’App Store
Cliquez sur Rechercher dans l’App Store pour
rechercher l’appli dans la base de données App
Store.
Lorsque vous sélectionnez une appli dans la
liste des résultats de la recherche, les champs
suivants sont remplis automatiquement :
Lien
•
Identifiant de l’appli
•
Catégorie d’appli
•
Lien
L’URL de l’appli dans l’App Store.
Pour déterminer l’URL, cliquez sur Obtenir
le lien pour ouvrir iTunes Link Maker dans
une nouvelle fenêtre de navigation. Naviguez
jusqu’à l’appli dans Link Maker et copiez l’URL
affichée sous Lien direct du champ Lien dans
Sophos Mobile Admin.
Pour les applis du programme d’achat en
volume d’Apple (VPP), ce champ est en lecture
seule.
Installation administrée par Sophos Mobile
L’appli est installée en tant qu’appli administrée.
Ce paramètre affecte uniquement les applis
que l’utilisateur installe à partir de l’App Store
pour entreprise. Les applis que vous installez
à partir de Sophos Mobile Admin sont toujours
administrées.
Notez que les applis gérées ne peuvent
pas être installées à partir de l’App Store
d’entreprise sur les appareils sur lesquels
Sophos Mobile gère uniquement le conteneur
Sophos.
356
Paramètres et VPN
Cliquez sur Afficher pour configurer une
connexion VPN utilisée lorsque l’appli est
démarrée ou pour configurer les paramètres de
l’appli personnalisés.
Licences du Programme d’achat en volume
Cliquez sur Afficher pour assigner
manuellement l’appli aux utilisateurs ou aux
appareils. Retrouvez plus de renseignements
à la section Assignation manuelle des apps du
Programme d’achat en volume (page 367).
Copyright © Sophos Limited
Sophos Mobile
Paramètres pour les packages d’applis
Paramètre
Description
Télécharger un fichier
Cliquez sur Télécharger un fichier pour
télécharger l’appli sur le serveur Sophos Mobile.
Naviguez jusqu’au fichier IPA et cliquez sur
Ouvrir.
Conseil
Autrement, faites glisser le fichier de l’Explorateur
de fichiers dans la zone Télécharger un fichier.
Concepts connexes
Applis gérées pour iPhones et iPads (page 362)
Les applications iPhones et iPads peuvent être installées en tant qu’applis gérées ou non gérées.
Tâches connexes
Ajout d’une app (page 349)
Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli
soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate.
16.6 Paramètres de l’app (macOS)
Paramètres généraux
Paramètre
Description
Nom
Le nom de l’app.
Pour les packages d’apps, Sophos Mobile
récupère ceci dans le fichier PKG.
Pour les apps du programme d’achat en volume
d’Apple (VPP), ce champ est en lecture seule.
Version
La version de l’app dans l’App Store.
Pour les packages d’apps, Sophos Mobile
récupère ceci dans le fichier PKG.
Pour les apps du programme d’achat en volume
d’Apple (VPP), ce champ est en lecture seule.
Copyright © Sophos Limited
357
Sophos Mobile
Paramètre
Description
Identifiant de l’appli
L’identifiant interne de l’app.
Pour les packages d’apps, Sophos Mobile
récupère ceci dans le fichier PKG.
Pour les apps du programme d’achat en volume
d’Apple (VPP), ce champ est en lecture seule.
Catégorie d’appli
Un nom de catégorie, par exemple
Productivité.
La valeur n’est pas utilisée actuellement.
Description
Une description de l’app.
La valeur n’est pas utilisée actuellement.
Paramètres pour les liens de l’app du Programme d’achat en volume
Paramètre
Description
Lien
L’URL de l’app dans l’App Store.
Pour les apps du programme d’achat en volume
d’Apple (VPP), ce champ est en lecture seule.
Licences du Programme d’achat en volume
Cliquez sur Afficher pour assigner
manuellement l’appli aux utilisateurs ou aux
appareils. Retrouvez plus de renseignements
à la section Assignation manuelle des apps du
Programme d’achat en volume (page 367).
Paramètres pour les packages d’apps
Paramètre
Description
Télécharger un fichier
Cliquez sur Télécharger un fichier pour
télécharger l’appli sur le serveur Sophos Mobile.
Naviguez jusqu’au fichier PKG et cliquez sur
Ouvrir.
Remarque
Les fichiers de package PKG peuvent contenir plusieurs apps. Dans ce cas, le nom, la version et
l’identifiant d’une app sont affichés.
358
Copyright © Sophos Limited
Sophos Mobile
16.7 Paramètres de l’appli (Windows Mobile)
Paramètre
Description
Nom
Le nom de l’appli.
Version
La version de l’app.
Sophos Mobile utilise la version de la boutique
Microsoft.
Catégorie d’appli
Un nom de catégorie, par exemple
Productivité.
Lorsque vous mettez une appli à disposition
dans l’App Store pour entreprise, l’appli
apparaîtra sous ce nom dans une section.
Description
La description de l’appli est affichée dans l’App
Store pour entreprise.
Vous pouvez utiliser l’espace réservé
%_appstoretext_% partout où vous le
souhaitez dans la description. Dans l’App
Store pour entreprise, il sera remplacé par
la description actuelle de l’appli issue de la
boutique Microsoft.
Disponible pour les groupes d’appareils
Vous pouvez mettre l’appli à disposition
dans l’App Store pour entreprise afin que
l’utilisateur puisse l’installer. Cliquez sur
Afficher et sélectionnez un ou plusieurs
groupes d’appareils pour lesquels l’appli figurera
dans l’App Store pour entreprise.
Lien
L’URL de l’appli dans la boutique Microsoft.
Pour déterminer l’URL, cliquez sur Allez sur
la boutique Microsoft pour ouvrir la boutique
Microsoft dans un nouvel onglet de votre
explorateur et rendez-vous sur la page de
l’appli. Copiez ensuite l’URL à partir de la barre
d’adresse de l’onglet du navigateur et copiez la
dans le champ Lien.
Tâches connexes
Ajout d’une app (page 349)
Copyright © Sophos Limited
359
Sophos Mobile
Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli
soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate.
16.8 Paramètres de l’appli (Windows)
Paramètres généraux
Paramètre
Description
Nom
Le nom de l’appli.
Version
La version de l’app.
Pour les liens vers les applis, Sophos Mobile
utilise la version de Microsoft Store.
Catégorie d’appli
Un nom de catégorie, par exemple
Productivité.
Description
Une description de l’app.
Paramètres pour les liens MSI
Paramètre
Description
GUID CodeProduit
Le GUID ProductCode du fichier MSI.
Remarque
Si vous saisissez une valeur GUID incorrecte,
l’appli ne peut pas être désinstallée.
Lien
L’URL du fichier MSI.
Hachage de fichier SHA-256
La valeur de hachage SHA-256 du fichier MSI.
Remarque
Si vous saisissez une valeur de hachage
incorrecte, l’appli ne peut pas être désinstallée.
Options d’installation
Les options de la ligne de commande pour le
fichier exécutable du programme d’installation,
msiexec.exe.
L’option par défaut /quiet installe l’appli sans
intervention de l’utilisateur.
Retrouvez plus de renseignements sur ces paramètres à la section Paramètres des liens Windows
MSI (page 361).
360
Copyright © Sophos Limited
Sophos Mobile
Paramètres pour les liens de la boutique Microsoft
Paramètre
Description
N°ID de la boutique
L’identifiant de la boutique de l’appli dans
la boutique Microsoft. La valeur est saisie
automatiquement lorsque vous cliquez sur
Récupérer les données.
N°ID de SKU
Le n°ID de SKU (unité de gestion des stocks)
de l’appli dans le catalogue de la boutique
Microsoft.
Les applis pourraient avoir différents numéros
d’ID de SKU pour les versions complètes et
d’essai ou pour différents marchés.
Si vous ne connaissez par le n°ID de SKU ID
d’une app, utilisez la valeur par défaut 0010.
Nom de la famille du package
Le Nom de la famille du package (PFN) de
l’app.
La valeur est saisie automatiquement lorsque
vous cliquez sur Récupérer les données.
Lien
L’URL de l’appli dans la boutique Microsoft.
Pour déterminer l’URL, cliquez sur Allez sur
la boutique Microsoft pour ouvrir la boutique
Microsoft dans un nouvel onglet de votre
explorateur et rendez-vous sur la page de
l’appli. Copiez ensuite l’URL à partir de la barre
d’adresse de l’onglet du navigateur et copiez la
dans le champ Lien.
Après avoir saisi l’URL, cliquez sur Récupérer
les données pour remplir les champs suivants
automatiquement :
•
Identifiant produit
•
Nom de la famille du package
Tâches connexes
Ajout d’une app (page 349)
Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli
soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate.
16.9 Paramètres des liens Windows MSI
Cette section vous indique comment déterminer les paramètres de l’app pour les liens Windows MSI.
Copyright © Sophos Limited
361
Sophos Mobile
•
GUID CodeProduit — Si Microsoft Windows SDK est déjà installé, utilisez le programme Orca
pour récupérer la valeur ProductCode d’un fichier MSI. Retrouvez un exemple sur la page Web
Use Orca to find MSI file GUID product code.
Vous avez également la possibilité d’utiliser un script PowerShell. Ces scripts sont disponibles
sur Internet comme par exemple sur la page Web How to get MSI file information with
PowerShell.
Remarque
La valeur que vous saisissez dans le champ GUID CodeProduit ne doit pas inclure de
parenthèses.
•
Hachage de fichier SHA-256 — Utilisez la commande PowerShell Get-FileHash pour récupérer
la valeur de hachage SHA-256 d’un fichier MSI :
PS> Get-FileHash <chemin-du-fichier-MSI>
Retrouvez plus de renseignements sur la commande Get-FileHash sur la page Web GetFileHash de Microsoft.
•
Options d’installation — Retrouvez plus de renseignements sur les options de lignes de
commande disponibles pour l’installation de fichiers MSI sur la page Web Options de lignes de
commande standard du programme d’installation de Microsoft.
Référence associée
Paramètres de l’appli (Windows) (page 360)
16.10 Applis gérées pour iPhones et iPads
Les applications iPhones et iPads peuvent être installées en tant qu’applis gérées ou non gérées.
Vous pouvez vérifier l’état de gestion d’un appareil dans l’onglet Applis installées de la page
Affichage de l’appareil.
Différences entre les applis gérées et non gérées
362
•
Lorsqu’un utilisateur installe une appli depuis l’App Store d’entreprise, une tâche d’installation est
créée et traitée dans Sophos Mobile. Pour les applis non gérées, l’utilisateur est redirigé vers l’App
Store d’Apple.
•
Vous pouvez désinstaller les apps administrées dans Sophos Mobile Admin. En revanche, ceci
n’est pas possible pour les apps non administrées.
•
Sur les iPhones et iPads supervisés, les applis gérées sont installées et désinstallées sans
qu’aucune intervention de l’utilisateur ne soit requise.
•
Certains paramètres des stratégies d’appareil sont uniquement disponibles pour les applis gérées.
•
Les applis gérées sont automatiquement désinstallées lorsque l’appareil est désinscrit de Sophos
Mobile. Les applis non gérées restent installées.
Copyright © Sophos Limited
Sophos Mobile
Installation d’une appli gérée
Vous disposez des options suivantes pour installer une appli gérée :
•
Installez l’appli dans Sophos Mobile Admin.
•
Activez Installation administrée par Sophos Mobile dans les paramètres de l’appli et laissez
l’utilisateur installer l’appli à partir de l’App Store d’entreprise.
La deuxième option n’est pas disponible pour les applis auxquelles vous avez ajouté Sophos Mobile
en téléchargeant le fichier IPA ou pour les appareils sur lesquels Sophos Mobile gère uniquement le
conteneur Sophos.
Modification d’une appli non gérée en appli gérée
Pour modifier l’état d’une appli déjà installée de « non gérée » à « gérée », activez Installation
administrée par Sophos Mobile dans les paramètres de l’appli et créez une tâche d’installation.
Cette opération n’installera pas à nouveau l’appli, mais en fera une appli gérée.
16.11 Gestion des apps du Programme d’achat en
volume d’Apple
Vous pouvez utiliser le Programme d’achat en volume d’Apple (VPP) pour acheter des licences
d’app iOS et macOS. Vous pouvez ensuite les distribuer dans votre organisation.
Une fois la commande passée, téléchargez un token de service (sToken). Il contient les licences des
apps achetées.
Assignation des apps du Programme d’achat en volume aux utilisateurs
ou aux appareils
Pour iOS, vous pouvez choisir d’assigner une app du Programme d’achat en volume à un utilisateur
ou à un appareil. Pour macOS, vous assignez les apps du Programme d’achat en volume aux
appareils :
•
Lorsque vous assignez une app du Programme d’achat en volume iOS aux utilisateurs, ils
peuvent l’installer sur tous les iPhones et iPads inscrits à Sophos Mobile qui sont connectés à leur
identifiant Apple.
•
Lorsque vous assignez une app du Programme d’achat en volume iOS à un appareil, vous n’avez
pas besoin de l’associer à un identifiant Apple.
•
Lorsque vous assignez une app du Programme d’achat en volume iOS à un Mac, elle est
disponible à tous les utilisateurs qui se connectent à ce Mac.
Retrouvez plus de renseignements aux sections Assignation manuelle des apps du Programme
d’achat en volume (page 367) et Assignation automatique des apps du Programme d’achat en
volume (page 368).
Copyright © Sophos Limited
363
Sophos Mobile
Invitation d’utilisateurs au Programme d’achat en volume d’Apple
Avant d’assigner une app du Programme d’achat en volume à un utilisateur, veuillez l’inviter
au Programme d’achat en volume. Retrouvez plus de renseignements à la section Inviter des
utilisateurs au Programme d’achat en volume d’Apple (VPP) (page 365).
Vous n’avez pas besoin d’inviter les appareils au Programme d’achat en volume.
Installation des apps du Programme d’achat en volume
Vous installez les apps du Programme d’achat en volume dans Sophos Mobile Admin, de la même
manière que vous installer d’autres apps. Retrouvez plus de renseignements à la section Installer
une app (page 350).
Les utilisateurs peuvent installer des apps du Programme d’achat en volume iOS à partir de la
liste d’apps achetées dans leur App Store. En revanche, ceci n’est pas possible pour les apps du
Programme d’achat en volume macOS.
Retrait d’assignation de l’app du Programme d’achat en volume
Vous retirez l’assignation d’une app du Programme d’achat en volume des manières suivantes :
•
Dessélectionnez les utilisateurs ou appareils requis sur la page des informations sur l’app.
•
Apps iOS : Dessélectionnez l’app sur la page des informations sur l’app.
•
Apps macOS : Transférez une série de tâches à l’aide d’une tâche Retirer l’assignation de l’appli
VPP sur l’appareil.
Les licences du Programme d’achat en volume sont automatiquement libérées dans les situations
suivantes :
•
L’app est désinstallée de l’appareil.
•
L’appareil est désinscrit de Sophos Mobile.
Conseil
Lorsque vous assignez une app du Programme d’achat en volume, les utilisateurs peuvent
continuer à l’utiliser pendant 30 jours.
16.11.1 Installation du Programme d’inscription d’appareils
Apple
Pour installer le Programme d’achat en volume d’Apple., téléchargez le sToken (token de service)
de votre compte du Programme d’achat en volume d’Apple. sur Sophos Mobile et configurez les
paramètres d’assignation de l’appli.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Apple VPP.
2. Cliquez sur le lien du Portail du Programme d’achat en volume iTunes.
Le portail Web du Programme d’achat en volume va s’ouvrir dans une nouvelle fenêtre de
navigation.
364
Copyright © Sophos Limited
Sophos Mobile
3. Sur cette page, sélectionnez Entreprise.
4. Sur la page Connexion au Store Entreprises, saisissez votre identifiant Apple et votre mot de
passe.
5. Allez sur la page Résumé de votre compte et cliquez sur Télécharger un jeton.
Le sToken est généré et enregistré sur votre ordinateur local dans un fichier texte avec l’extension
.vpptoken en utilisant les paramètres de téléchargement de votre navigateur Web.
6. Facultatif : Déplacez le fichier sToken à un emplacement accessible à partir de Sophos Mobile
Admin.
7. Dans Sophos Mobile Admin, retournez dans l’onglet Apple VPP et cliquez sur Télécharger un
fichier, sélectionnez le fichier sToken et cliquez ensuite sur Ouvrir.
Sophos Mobile lit le fichier et remplit les champs Entreprise et Expire le à partir des informations
du sToken.
8. Dans Assigner automatiquement les applis VPP à l’installation, configurez l’assignation
automatique des applis du Programme d’achat en volume (VPP). Retrouvez plus de
renseignements à la section Assignation automatique des apps du Programme d’achat en volume
(page 368).
9. Facultatif : Sélectionnez Mettre à jour automatiquement les applis du Programme d’achat en
volume iOS assignés aux appareils pour informer l’utilisateur qu’une mise à jour est disponible
pour une appli du programme d’inscription d’appareils. Ceci s’applique aux applis du programme
d’inscription d’appareils assignées à un iPhone ou à un iPad.
Pour les applis du programme d’inscription d’appareils assignées à un utilisateur, ce dernier doit
vérifier si des mises à jour sont disponibles dans l’App Store.
10. Facultatif : Remplissez les champs restants sur l’onglet Apple VPP.
Dans le champ Pays, saisissez votre code pays à deux lettres, par exemple US pour les ÉtatsUnis.
11. Cliquez sur Enregistrer.
16.11.2 Inviter des utilisateurs au Programme d’achat en
volume d’Apple (VPP)
Vous pouvez inviter tous les utilisateurs ou des utilisateurs spécifiques au Programme d’achat en
volume d’Apple.
Condition préalable : Vous avez téléchargé sToken de votre compte du Programme d’achat
en volume d’Apple (VPP) sur Sophos Mobile. Retrouvez plus de renseignements à la section
Installation du Programme d’inscription d’appareils Apple.
1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs/groupes.
2. Procédez de l’une des manières suivantes :
•
Pour inviter tous les utilisateurs, cliquez sur Inviter des utilisateurs au Programme d’achat
en volume d’Apple.
•
Pour inviter un utilisateur spécifique :
a) Sélectionnez l’utilisateur sur la page Utilisateurs/groupes.
b) Cliquez sur Inviter des utilisateurs au Programme d’achat en volume d’Apple sur la
page Affichage de l’utilisateur.
•
Pour inviter un utilisateur spécifique si l’utilisateur ne figure pas sur la page Utilisateurs/
groupes :
a) Cliquez sur Rechercher et inviter un utilisateur au Programme d’achat en volume
d’Apple.
Copyright © Sophos Limited
365
Sophos Mobile
b) Sur la page Rechercher des utilisateurs, saisissez tout ou partie du nom ou de l’adresse
électronique de l’utilisateur.
c) La page Sélectionner un utilisateur répertorie les utilisateurs de votre répertoire
utilisateur externe qui correspondent à vos critères de recherche. Sélectionnez l’utilisateur
que vous souhaitez inviter au Programme d’achat en volume d’Apple.
d) Cliquez sur Appliquer.
Sophos Mobile envoie un email d’invitation à tous les utilisateurs concernés.
Les utilisateurs doivent cliquer sur le lien dans leur email d’invitation pour connecter leur compte
Apple iTunes au Programme d’achat en volume d’Apple. Ils pourront ensuite installer et utiliser les
applis dont les licences ont été fournies par votre entreprise.
Remarque
Lorsque vous utilisez la gestion des utilisateurs externes et que vous invitez tous les utilisateurs
au Programme d’achat en volume d’Apple, les utilisateurs n’ayant pas d’adresse électronique
assignée sont enregistrés au Programme d’achat en volume d’Apple mais ne reçoivent pas de lien
pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple.
Retrouvez plus de renseignements sur la manière de procéder au processus d’enregistrement au
Programme d’achat en volume dans ce cas de figure à la section Invitation des utilisateurs sans
adresse électronique au Programme d’achat en volume d’Apple.
Tâches connexes
Installation du Programme d’inscription d’appareils Apple (page 364)
Invitation des utilisateurs sans adresse électronique au Programme d’achat en volume d’Apple (page
366)
16.11.3 Invitation des utilisateurs sans adresse électronique au
Programme d’achat en volume d’Apple
cette procédure nécessite l’utilisation d’un compte super administrateur et donc ne s’applique pas à
Sophos Mobile (version SaaS).
Lorsque vous invitez des utilisateurs à partir d’un annuaire d’utilisateurs externes au Programme
d’achat en volume d’Apple conformément aux instructions de la section Inviter des utilisateurs au
Programme d’achat en volume d’Apple (VPP) (page 365), les utilisateurs n’ayant pas d’adresse
électronique assignée seront enregistrés au Programme d’achat en volume d’Apple mais ne
recevront pas de lien pour connecter leur compte Apple iTunes au Programme d’achat en volume
d’Apple.
Dans ce cas, effectuez les étapes suivantes pour terminer le processus d’enregistrement au
Programme d’achat en volume d’Apple.
1. En tant que super administrateur de Sophos Mobile, téléchargez les fichiers journaux du serveur.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile
(anglais).
2. Identifiez les comptes d’utilisateur affectés dans les fichiers journaux.
3. Sur le menu latéral de Sophos Mobile Admin, sous GESTION, cliquez sur Utilisateurs/groupes.
4. Cliquez sur l’un des utilisateurs affectés.
5. Sur la page suivante, cliquez sur Afficher le lien d’invitation.
366
Copyright © Sophos Limited
Sophos Mobile
Pour les utilisateurs externes sans adresse électronique, cette fonction n’envoie pas d’email
d’invitation mais affiche le lien d’invitation dans une boîte de dialogue.
6. Copiez le lien figurant dans cette boîte de dialogue et communiquez le à l’utilisateur.
7. Répétez cette procédure pour tous les utilisateurs affectés.
Les utilisateurs doivent cliquer sur ce lien pour connecter leur compte Apple iTunes au Programme
d’achat en volume d’Apple.
16.11.4 Gestion des utilisateurs du Programme d’achat en
volume d’Apple
Si vous installez le programme d’achat en volume d’Apple (VPP), la page Affichage de l’utilisateur
inclut une section Programme d’achat en volume d’Apple.
Vous pouvez voir ou modifier l’état du programme d’achat en volume d’Apple (VPP) de chaque
utilisateur.
•
Afficher l’état de l’utilisateur du Programme d’achat en volume d’Apple.
— Enregistré : l’utilisateur a été invité au Programme d’achat en volume d’Apple mais n’a pas
encore connecté son compte Apple iTunes au Programme d’achat en volume d’Apple.
— Associé : l’utilisateur a connecté son compte Apple iTunes au Programme d’achat en volume
d’Apple et peut installer les apps du Programme d’achat en volume.
•
Afficher les apps du Programme d’achat en volume d’Apple que l’utilisateur a installé.
•
Inviter l’utilisateur au programme.
Un email avec un lien d’invitation est envoyé à l’utilisateur. Si le compte de l’utilisateur ne
contient pas d’adresse électronique, le lien d’invitation est affiché dans une boîte de dialogue.
•
Si nécessaire, renvoyez l’email d’invitation.
•
Désinscrivez l’utilisateur du Programme d’achat en volume d’Apple.
16.11.5 Assignation manuelle des apps du Programme d’achat
en volume
Vous pouvez assigner des apps du Programme d’achat en volume individuellement aux utilisateurs ou
aux appareils.
Conseil
Vous pouvez automatiquement assigner une app lorsqu’elle est installée. Retrouvez plus de
renseignements à la section Assignation automatique des apps du Programme d’achat en volume
(page 368).
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS et iPadOS ou sur Applis >
macOS.
2. Cliquez sur Importation d’applis du Programme d’achat en volume.
Cette opération va récupérer les informations sur l’appli à partir du serveur du Programme d’achat
en volume d’Apple et va créer des entrées d’appli dans Sophos Mobile si nécessaire.
3. Cliquez sur l’app du Programme d’achat en volume à assigner aux utilisateurs ou aux appareils.
Copyright © Sophos Limited
367
Sophos Mobile
Conseil
Les applis du Programme d’achat en volume sont identifiées par une encoche dans la colonne
Programme d’achat en volume.
4. Cliquez sur Afficher à côté de Licences du Programme d’achat en volume.
5. Sélectionnez les utilisateurs ou appareils auxquels vous voulez assigner l’app.
Vous pouvez choisir parmi tous les utilisateurs inscrits ou associés au Programme d’achat en
volume d’Apple (VPP) et parmi tous les appareils affichant l’état Administré.
Vous pouvez uniquement assigner les apps macOS aux appareils.
6. Vous pouvez également assigner l’app aux appareils en sélectionnant les groupes d’appareils :
a) Cliquez sur Afficher à côté de Disponible pour les groupes d’appareils.
b) Sélectionnez les groupes d’appareils.
7. Par défaut, les apps iOS du Programme d’achat en volume sont installées sous l’état administré
sur les appareils des utilisateurs. Pour installer une appli qui ne sera pas administrée,
dessélectionnez la case Installation administrée par Sophos Mobile.
8. Cliquez sur Save. L’assignation de l’app est également synchronisée avec le serveur du
Programme d’achat en volume d’Apple (VPP).
Remarque
L’état des applis du Programme d’achat en volume étant administré par le serveur du Programme
d’achat en volume d’Apple, vous allez devoir patienter quelque temps avant de voir les
modifications que vous avez apportées dans Sophos Mobile sur les appareils.
16.11.6 Assignation automatique des apps du Programme
d’achat en volume
Vous pouvez assigner les apps du Programme d’achat en volume (VPP) automatiquement
lorsqu’elles sont installées.
Vous pouvez décider d’assigner les apps du Programme d’achat en volume iOS à l’appareil ou à
l’utilisateur assigné à l’appareil.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Apple VPP.
2. Dans Assigner automatiquement les applis VPP à l’installation, sélectionnez l’une des options
suivantes :
368
•
Définir la priorité d’assignation de l’appareil : les apps du Programme d’achat en volume
(VPP) iOS sont assignées à l’appareil. Si l’appareil n’est pas compatible avec l’assignation
au Programme d’achat en volume (VPP), les apps sont assignées à l’utilisateur de l’appareil.
•
Définir la priorité d’assignation de l’utilisateur : les apps du Programme d’achat en
volume (VPP) iOS sont assignées à l’utilisateur de l’appareil. S’il n’y a pas d’utilisateur de
l’appareil, les apps sont assignées à l’appareil.
•
Désactivé : veuillez assigner les apps du Programme d’achat en volume (VPP)
manuellement.
Copyright © Sophos Limited
Sophos Mobile
Remarque
Vous ne pouvez pas assigner les apps du Programme d’achat en volume (VPP) macOS aux
utilisateurs. Les options Définir la priorité d’assignation de l’appareil et Définir la priorité
d’assignation de l’utilisateur activent l’assignation automatique.
16.11.7 Synchronisation des informations sur la licence du
Programme d’achat en volume
Pour des raisons de performances, Sophos Mobile conserve une copie locale des informations sur
la licence du Programme d’achat en volume. Vous pouvez forcer Sophos Mobile à synchroniser ses
données du Programme d’achat en volume avec le serveur du Programme d’achat en volume d’Apple.
Remarque
Vous avez uniquement besoin de synchroniser les données du Programme d’achat en volume si
les informations sur la licence d’une app affichées sont incorrectes.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple
puis sur l’onglet Apple VPP.
2. Cliquez sur Effacer le cache du VPP.
Sophos Mobile rejette les informations du Programme d’achat en volume local et synchronise les
données avec le serveur du Programme d’achat en volume d’Apple.
Remarque
Retrouvez plus de renseignements sur l’affichage des informations sur la licence d’une appli du
Programme d’achat en volume à la section Assignation manuelle des apps du Programme d’achat
en volume (page 367).
16.12 Assigner une connexion VPN à une appli
iPhone ou iPad
Lorsque vous assignez une connexion VPN à une appli iPhone ou iPad, l’appli utilise cette
connexion pour toute sa communication réseau.
Condition préalable : Vous avez créé une ou plusieurs stratégies d’appareil avec une configuration
Connexion VPN via l’appli. Retrouvez plus de renseignements à la section Configuration de la
connexion VPN via l’app (stratégie d’appareil iOS) (page 231).
Pour assigner une connexion VPN à une app :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS et iPadOS.
2. Sur la page Applis, cliquez sur l’appli requise.
3. Cliquez sur Afficher à côté de Paramètres et VPN.
4. Dans Connexion VPN utilisée par l’appli, sélectionnez une configuration VPN.
La liste contient les configurations Connexion VPN via l’appli de toutes les stratégies d’appareil.
5. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer.
6. Cliquez sur Enregistrer.
Copyright © Sophos Limited
369
Sophos Mobile
16.13 Ajouter une configuration d’appli gérée
La configuration d’appli gérée est une fonction des applis iPhone et iPad qui vous permet de configurer
une appli à distance sans nécessiter d’accès physique à l’appareil sur lequel l’appli est installée.
Conditions requises :
•
Le développeur de l’app a mis en place la configuration d’app gérée.
•
L’app a été installée en tant qu’app gérée. Retrouvez plus de renseignements à la section Applis
gérées pour iPhones et iPads (page 362).
Pour ajouter une configuration d’app gérée :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS et iPadOS.
2. Sur la page Applis, cliquez sur l’appli requise.
3. Cliquez sur Afficher à côté de Paramètres et VPN.
4. Sous Configuration gérée, cliquez sur Ajouter un paramètre.
5. Saisissez les informations requises.
6. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer.
7. Cliquez sur Enregistrer.
16.14 Applis Windows
Pour les ordinateurs Windows, Sophos Mobile répertorie les applications suivantes sur la page
Affichage de l’appareil :
370
Type
Description
Boutique Microsoft
Applis Universal Windows Platform (UWP) installées depuis la Boutique
Microsoft ou la Boutique Microsoft pour Entreprises et Éducation.
Non officielle
Applis UWP installées depuis une autre appli que la Boutique Microsoft.
Système
Applis UWP faisant partie du système d’exploitation Windows.
Win32
Applis Win32 (applis installées à partir d’un fichier MSI).
Copyright © Sophos Limited
Sophos Mobile
17 Groupes d’apps
Des groupes d’applis peuvent être créés dans Sophos Mobile afin de définir des listes pour les
stratégies.
Pour Chrome OS, les groupes d’applis peuvent contenir des applis et des extensions.
17.1 Création d’un groupe d’apps
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’applis et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps.
2. Cliquez sur Créer un groupe d’applis.
3. Sur la page Modification du groupe d’applis, saisissez un nom pour le nouveau groupe d’apps et
cliquez sur Ajouter une appli.
4. Sélectionnez l’app que vous souhaitez ajouter au groupe :
•
Pour sélectionner une app dans la liste de toutes les apps actuellement installées sur vos
appareils gérés, cliquez sur Liste des applis et sélectionnez une app.
•
Pour ajouter une app manuellement, cliquez sur Personnalisée et configurez les informations
sur l’app.
Paramètres des apps Android :
Nom de l’appli
un nom unique pour identifier l’app.
Identifiant
le nom du package de l’app.
Vous pouvez récupérer le nom du package à
partir de l’URL de l’app dans Google Play. Par
exemple, l’URL de l’app Sophos Mobile Control est
play.google.com/store/apps/details?
id=com.sophos.mobilecontrol.client.android
et le nom du package est
com.sophos.mobilecontrol.client.android.
Pour les apps à partir de Google Play d’entreprise (applis pour
les appareil Android Enterprise), ajoutez app: au début du
nom du package.
Lien
L’URL de l’app dans Google Play.
Paramètres des apps iOS et macOS :
Nom de l’appli
un nom unique pour identifier l’app.
Identifiant
l’identifiant du package de l’app.
Lien
L’URL de l’app dans l’App Store.
Paramètres des apps Windows Mobile :
Copyright © Sophos Limited
371
Sophos Mobile
Nom de l’appli
un nom unique pour identifier l’app.
Identifiant
Le GUID de l’app.
Si vous ne connaissez pas le GUID, remplissez le champ Lien
à la place.
Lien
L’URL de l’app dans la boutique Microsoft.
Par exemple, l’URL de l’app Sophos Mobile Control est
https://www.microsoft.com/fr-fr/store/p/
mobile-control-2017/9nblggh51qsj.
Paramètres des apps Windows :
Nom de l’appli
un nom unique pour identifier l’app.
Identifiant
Le numéro d’ID de l’app indiqué par Windows.
Pour les apps MSI, il s’agit du GUID ProductCode du fichier
MSI.
Pour les apps de la boutique Microsoft, il s’agit du Nom de la
famille du package (PFN) de l’app.
Lien
L’URL de l’app dans la boutique Microsoft.
Paramètres des applis et extensions Chrome OS :
Nom de l’appli
un nom unique pour identifier l’appli ou l’extension.
Identifiant
le nom du package de l’appli ou de l’extension.
Vous pouvez récupérer le nom du package à partir de l’URL
dans Chrome Web Store.
Par exemple, l’URL de Sophos Chrome Security
est chrome.google.com/webstore/
detail/sophos-chrome-security/
lkffbjbdklhachngaoeelmcgijmlicph et le nom du
package est lkffbjbdklhachngaoeelmcgijmliph .
5. Cliquez sur Ajouter.
6. Facultatif : Répétez les étapes précédentes pour ajouter plus d’apps.
7. Cliquez sur Enregistrer pour enregistrer le groupe d’apps.
17.2 Importation d’un groupe d’apps
Vous pouvez créer un groupe d’apps en important une liste d’apps à partir d’un fichier CSV.
Vous pouvez importer jusqu'à 10 000 apps.
Le fichier CSV doit avoir la spécification suivante :
•
372
La première rangée est traitée en tant qu’en-tête et n’est pas importée.
Copyright © Sophos Limited
Sophos Mobile
•
Les valeurs doivent être séparées par un point-virgule et pas par une virgule.
•
Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez
pas les valeurs en option.
•
L’extension de fichier doit être .csv.
•
Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en
UTF-8.
Conseil
Sur la page Importer les applis, cliquez sur Exemple de CSV pour télécharger un échantillon de
fichier.
Pour importer les apps à partir d’un fichier CSV et les ajouter à un groupe d’apps :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’applis et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps.
2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps.
3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau groupe d’apps et
cliquez sur Importer les apps.
4. Sur la page Importer les apps, cliquez sur Télécharger un fichier et naviguez jusqu’au fichier
CSV que vous avez préparé.
Les entrées sont lues à partir du fichier et sont affichées sur la page.
5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce
cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu
du fichier CSV et le télécharger de nouveau.
6. Cliquez sur Terminer pour ajouter les apps au groupe d’apps.
7. Sur la page Modification du groupe d’apps, cliquez sur Enregistrer.
Copyright © Sophos Limited
373
Sophos Mobile
18 Documents professionnels
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Dans Sophos Mobilel, vous pouvez télécharger les fichiers que vous souhaitez distribuer sur les
appareils de vos utilisateurs.
•
Les documents gérés dans Sophos Mobile sont automatiquement ajoutés dans l’emplacement de
stockage Documents professionnels dans Sophos Secure Workspace.
•
Vous pouvez assigner une catégorie à chaque document à partir des Documents professionnels.
•
Les documents se trouvant dans Documents professionnels sont en lecture seule.
•
Si Sophos Secure Workspace n’est pas administrée par Sophos Mobile, l’emplacement de
stockage Documents professionnels n’est pas disponible.
Pour distribuer les documents professionnels
1. Installez l’appli Sophos Secure Workspace sur les appareils. Retrouvez plus de renseignements à
la section Applis (page 348).
2. Assignez une stratégie de conteneur Sophos avec une configuration Documents professionnels.
3. Téléchargez les documents dans Sophos Mobile.
18.1 Ajout de Documents professionnels
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Pour distribuer des documents sur les appareils :
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Documents.
La page Documents apparaît.
2. Cliquez sur Ajouter un document.
La page Modifier un document apparaît.
3. Dans la champ Catégorie, saisissez la catégorie sous laquelle le document est affiché chez le
fournisseur de stockage Documents professionnels sur l’appareil.
Si vous ne remplissez pas ce champ, le fichier sera affiché dans le dossier racine du fournisseur de
stockage Documents professionnels.
4. Pour définir les paramètres du document :
•
Sélectionnez l’option Copier dans le Presse-papiers pour autoriser les utilisateurs à copier le
document dans le Presse-papiers.
•
Sélectionnez l’option Partager un document pour autoriser les utilisateurs à partager le
document.
•
Sélectionnez Utiliser le document hors ligne pour permettre aux utilisateurs d’ajouter le
document à la liste des Favoris.
Lorsqu’un document non chiffré dans les Documents professionnels est ajouté à la liste
des Favoris, la copie locale est conservée sous forme chiffrée. Lorsque le partage du
374
Copyright © Sophos Limited
Sophos Mobile
5.
6.
7.
8.
document est autorisé, le fichier est automatiquement déchiffré avant d’être transféré vers
d’autres apps. Si vous dessélectionnez la case Utiliser le document hors ligne, les copies
locales seront automatiquement supprimées à la prochaine synchronisation.
Cliquez sur le bouton Afficher situé à côté de Groupes assignés et sélectionnez le groupe
autorisé à accéder au document.
Saisissez une Description pour le document.
Cliquez sur Télécharger un fichier et naviguez jusqu’au document. Sélectionnez-le et cliquez sur
Ouvrir.
Répétez cette étape pour chaque document que vous voulez distribuer.
Le document est ajouté à la liste des documents. Il est distribué aux utilisateurs qui peuvent le
consulter dans l’app Sophos Secure Workspace.
Copyright © Sophos Limited
375
Sophos Mobile
19 Android Enterprise
Android Enterprise simplifie la gestion des appareils Android dans un environnement professionnel.
Restriction
Android Enterprise n’est pas disponible sur les versions d’Android 5.1.1 ou antérieures.
Les appareils Android Enterprise inscrits à Sophos Mobile peuvent avoir l’un des modes de gestion
suivants :
Appareil complet
Sur un appareil Android Enterprise entièrement géré, Sophos Mobile peut surveiller et gérer tous les
paramètres, applications et données.
La gestion complète des appareils Android Enterprise se distingue de l’autorisation d’administrateur
de l’appareil Android comme suit :
•
La procédure d’inscription est plus simple pour les utilisateurs.
•
Les utilisateurs n’ont pas besoin de créer un compte Google personnel sur l’appareil.
•
Par défaut, les utilisateurs d’Android Enterprise ont uniquement accès aux applis approuvées dans
Google Play d’entreprise. La configuration Google Play vous permet de donner aux utilisateurs
l’accès à toutes les applis depuis Google Play.
•
Seul une nombre minimum d’applis est activée par défaut : Boutique Google Play, Contacts,
Messages, Téléphone.
•
Vous pouvez installer, désinstaller ou mettre à jour les applis sans intervention de l’utilisateur.
•
Vous pouvez configurer les autorisations d’appli afin que les utilisateurs ne soient pas invités à
accorder les autorisations pendant l’utilisation.
•
Lorsque possible sur les applis, vous pouvez configurer les paramètres personnalisés des applis.
•
Vous pouvez réinitialiser le mot de passe de verrouillage de l’écran.
•
Vous pouvez configurer un mode kiosque qui limitera l’utilisation à une sélection d’appli et pas à
une seule appli.
•
Vous pouvez inscrire les appareils qui n’ont pas encore été configurés ou sur lesquels les
paramètres d’usine ont été restaurés.
•
Il n’existe pas d’action de désinscription dédiée. Pour désinscrire un appareil, vous devez le
réinitialiser.
Profil professionnel
Sur un appareil de profil de travail Android Enterprise, Sophos Mobile peut uniquement surveiller et
gérer les paramètres, applis et données de l’appareil lui-même.
La gestion du profil de travail est idéale pour le BYOD (bring your own device).
376
Copyright © Sophos Limited
Sophos Mobile
Appareil dédié
Un appareil Android Enterprise dédié, anciennement appelé appareil COSU (à usage unique
appartenant à l’entreprise) est verrouillé sur une seule appli ou sur un ensemble d’applis. Utilisez
cette fonctionnalité pour les appareils destinés à un usage spécifique, par exemple une application
de kiosque.
Pour configurer un appareil dédié, assignez une configuration Mode kiosque à un appareil
entièrement géré.
Référence associée
Configuration du mode kiosque (stratégie d’appareil Android Enterprise) (page 135)
La configuration Mode kiosque permet d’activer la gestion des appareils Android Enterprise.
Information associée
Aide d’Android Enterprise (lien externe)
Comment configurer Sophos Mobile pour paramétrer l’appareil en mode « privé, à usage
unique » (article 133409 de la base de connaissances Sophos)
19.1 Installation d’Android Enterprise - Généralités
Pour installer Android Enterprise dans votre organisation, vous avez le choix entre deux scénarios
différents :
Scénario « Compte Google Play d’entreprise »
Il s’agit de la méthode la plus simple pour installer Android Enterprise pour votre organisation.
•
Sophos Mobile vous guide tout au long du processus d’installation d’Android Enterprise.
•
Il est possible de créer plusieurs comptes Android Enterprise dans une seule entreprise.
•
Sophos Mobile Gère le cycle de vie complet du compte d’utilisateur.
•
Les appareils peuvent être inscrits dans le Sophos Mobile Self Service Portal ou dans Sophos
Mobile Admin.
Scénario « Domaine Google d’entreprise »
Cette méthode convient à ceux qui possèdent déjà un domaine Google d’entreprise ou qui
souhaitent gérer des comptes Android Enterprise sans utiliser Sophos Mobile.
•
Vous enregistrez un domaine Google géré auprès de Google et prouvez qu’il vous appartient.
•
Vous reliez Sophos Mobile à votre domaine Google d’entreprise en tant que logiciel EMM
(Enterprise Mobility Management) tiers.
•
Sophos Mobile crée les comptes d’utilisateur nécessaires. Sophos Mobile ne gère pas le cycle de
vie du compte.
•
Les appareils peuvent uniquement être inscrits dans le Sophos Mobile Self Service Portal et pas
dans Sophos Mobile Admin.
Copyright © Sophos Limited
377
Sophos Mobile
Remarque
Il est impossible de changer le mode de gestion des utilisateurs une fois Android Enterprise
installé. Par exemple, vous ne pouvez pas passer de la gestion des utilisateurs internes à un
annuaire LDAP externe.
Conseil
Après avoir installé Android Enterprise, vous pouvez vérifier le scénario utilisé sous Configuration
> Configuration d’Android > Android Enterprise > Mode Android Enterprise.
19.2 Installation d’Android Enterprise (scénario
Compte Google Play d’entreprise)
Sophos Mobile vous guide tout au long de la procédure d’installation d’Android Enterprise pour votre
organisation.
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android Enterprise.
2. Sélectionnez Configurer.
3. Sélectionnez Scénario « Compte Google Play d’entreprise » puis Suivant.
4. Sélectionnez Enregistrer un compte.
Vous allez être redirigé vers un site Web de Google à partir duquel vous pourrez enregistrer votre
organisation à Android Enterprise.
5. Connectez-vous au site Web de Google avec votre compte Google.
Remarque
Nous vous conseillons de créer un nouveau compte Google.
6. Sur le site Web de Google, suivez les étapes d’enregistrement de votre entreprise.
Conseil
Lorsque vous précisez le nom de votre organisation, nous vous conseillons d’inclure le terme
Sophos Mobile et le nom de votre client Sophos Mobile. Par exemple :
Nom de l’organisation (Sophos Mobile/Nom du client)
Après avoir effectué les étapes d’enregistrement, le site Web de Google vous redirige vers Sophos
Mobile.
7. Dans Sophos Mobile, sélectionnez Finaliser l’installation pour terminer la procédure
d’enregistrement.
Cette opération termine la procédure d’installation d’Android Enterprise pour votre organisation.
Remarque
Après avoir installé Android Enterprise, vous ne pouvez plus changer le mode de gestion des
utilisateurs, par exemple, de la gestion des utilisateurs internes à un annuaire LDAP externe.
378
Copyright © Sophos Limited
Sophos Mobile
19.3 Installation d’Android Enterprise (scénario
Domaine Google d’entreprise)
Si vous disposez déjà d’un domaine Google d’entreprise ou si vous souhaitez gérer les comptes de
vos utilisateurs Android Enterprise en dehors de Sophos Mobile, configurez Android Enterprise comme
un domaine Google d’entreprise.
Remarque
Après avoir installé Android Enterprise, vous ne pouvez plus changer le mode de gestion des
utilisateurs, par exemple, de la gestion des utilisateurs internes à un annuaire LDAP externe.
Pour configurer Android Enterprise comme un domaine Google d’entreprise, procédez comme suit.
Enregistrement d’un domaine auprès de Google
Remarque
Si vous avez déjà un domaine Google géré, par exemple, si vous êtes inscrit à G Suite
(anciennement Google Apps), vous pouvez ignorer cette étape.
Remarque
Si vous voulez configurer Android Enterprise pour plusieurs clients dans Sophos Mobile, vous
devez utiliser un domaine individuel pour chaque client.
1. Ouvrez la page Web Se connecter à Android Enterprise de Google.
Vous trouverez le lien dans les informations connexes.
2. Saisissez les informations requises.
•
Sous Quel est le nom de domaine de votre entreprise ?, saisissez le domaine qui sera
utilisé en tant que domaine Google géré. Par exemple, vous pouvez utiliser le domaine de
votre serveur Sophos Mobile.
•
Sous Comment vous connecterez-vous, saisissez les codes d’accès d’un nouveau domaine
administrateur.
Remarque
Notez les codes d’accès car vous en aurez besoin ultérieurement lors de la procédure
d’installation.
3. Cliquez sur le bouton pour créer le compte d’administrateur de domaine.
La console Google Admin s’ouvre.
4. Dans la console d’administration Google, démarrez la procédure pour vérifier que vous êtes le
propriétaire de ce domaine.
Suivez les instructions de Google pour vérifier votre domaine.
Une fois qu’il a été vérifié que vous êtes le propriétaire du domaine, vous allez recevoir un token de
connexion de votre domaine Google géré à votre fournisseur EMM tiers, c’est-à-dire Sophos Mobile.
Copyright © Sophos Limited
379
Sophos Mobile
Information associée
Se connecter à Android Enterprise (page Web de Google)
Créer un compte de service Google
Un compte de service Google est un type spécial de compte Google pour une application. Ce
compte est utilisé par Sophos Mobile pour communiquer avec les API Google.
Créez un projet :
1. Connectez-vous à la console Google API avec votre compte d’administrateur de domaine.
Vous trouverez le lien dans les informations connexes.
2. Dans la barre d’en-tête de la console Google API, cliquez sur Sélectionner un projet > Nouveau
projet.
Si un projet est déjà sélectionné, cliquez sur son nom, puis sur Nouveau projet.
3. Dans la boîte de dialogue Nouveau projet, saisissez un nom de projet, par exemple Android
Enterprise et cliquez sur Créer.
4. Facultatif : Si la barre d’en-tête affiche un autre projet, cliquez sur son nom et sélectionnez le
nouveau projet.
Activez l’API SDK Admin :
5. Cliquez sur le bouton du Menu de navigation dans le coin supérieur gauche, puis sur API &
Services > Bibliothèque.
6. Sur la page Bienvenue dans la bibliothèque API, saisissez admin sdk dans le champ de
recherche.
7. Dans la liste des résultats, cliquez sur Admin SDK.
8. Sur la page Admin SDK, cliquez sur Activer.
Activez l’API EMM de Google Play :
9. Sur la page Bienvenue dans la bibliothèque API, saisissez emm dans le champ de recherche.
10. Dans liste des résultats de la recherche, cliquez sur Google Play EMM API.
11. Sur la page Google Play EMM API, cliquez sur Activer.
Créez un compte de service :
12. Sur la page Google Play EMM API, cliquez sur Créer des identifiants.
13. Sur la page Ajouter des identifiants au projet, cliquez sur le lien compte de service sous la
première étape.
14. Sur la page Comptes de service, cliquez sur Créer un compte de service.
15. Dans le champ Nom de compte de service, saisissez un nom pour le compte de service, par
exemple, Android Enterprise.
16. Cliquez sur Créer.
17. Sur la page Autorisations de compte de service, cliquez sur Continuer.
18. Sur la page Accorder aux utilisateurs l’accès à ce compte de service, cliquez sur Créer une
clé.
19. Sélectionnez JSON et cliquez sur Créer.
La clé privée de compte de service est générée et enregistrée sur votre ordinateur dans un
fichier JSON.
Placez le fichier JSON dans un emplacement sécurisé. Vous devez associer Sophos Mobile à
votre domaine Google géré.
20. Cliquez sur Terminer.
380
Copyright © Sophos Limited
Sophos Mobile
21. Sur la page Comptes de service, cliquez sur l’adresse email du compte de service que vous avez
créé.
22. Sur la page Détails du compte de service, cliquez sur Modifier.
23. Développez la section Afficher la délégation à l’échelle du domaine, puis sélectionnez Activer
la délégation à l’échelle du domaine G Suite.
24. Dans Nom du produit pour l’écran d’autorisation, saisissez par exemple Sophos Mobile.
25. Cliquez sur Save.
Configurer l’accès à l’API :
26. Connectez-vous à la console Google Admin avec votre compte d’administrateur de domaine.
Vous trouverez le lien dans les informations connexes.
27. Cliquez sur Sécurité > Paramètres avancés.
Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Paramètres avancés.
28. Cliquez sur Gérer l’accès au client API.
29. Ouvrez le fichier JSON dans un éditeur de texte et copiez la valeur client_id dans le champ
Nom du client.
Par exemple, si votre fichier JSON contient un ligne "client_id": "123456789", saisissez
123456789 dans le champ Nom du client.
30. Dans Un ou plusieurs champs d’application d’API, saisissez les éléments suivants (sans saut
de ligne) :
https://www.googleapis.com/auth/admin.directory.user, https://
www.googleapis.com/auth/androidenterprise
31. Cliquez sur Autoriser.
Information associée
Console Google API
Console Google Admin
Associer Sophos Mobile à votre domaine Google géré.
1. Connectez-vous à Sophos Mobile Admin.
2. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android Enterprise.
3. Cliquez sur Configurer.
4. Sélectionnez Scénario « Domaine Google d’entreprise » et cliquez sur Suivant.
5. Configurez les paramètres suivants :
Option
Description
Domaine professionnel
Votre domaine Google géré a été vérifié par
Google.
Administrateur du domaine
Le nom de votre compte d’administrateur de
domaine. Il s’agit de l’administrateur que vous
avez créé lorsque vous avez enregistré votre
domaine auprès de Google.
Token EMM
Le token que vous avez reçu de Google après
avoir fait vérifié que vous êtes bien propriétaire
du domaine.
Copyright © Sophos Limited
381
Sophos Mobile
Option
Description
Vous pouvez voir le token lorsque vous vous
connectez à la console Google Admin sous
votre compte d’administrateur de domaine et
que vous naviguez jusqu’à Sécurité > Gérer
le fournisseur EMM pour Android.
6. Cliquez sur Télécharger un fichier et sélectionnez le fichier JSON que vous avez téléchargé sur
Google lors de la création du compte de service.
Le fichier JSON sélectionné doit avoir l’extension .json.
7. Cliquez sur Lier.
Sophos Mobile contacte le service Web de Google pour se lier en tant que fournisseur EMM à votre
domaine Google géré.
Configuration des paramètres Google EMM
1. Connectez-vous à la console Google Admin avec votre compte d’administrateur de domaine.
Vous trouverez le lien dans les informations connexes.
2. Cliquez sur Sécurité puis sur Gérer le fournisseur EMM pour Android.
Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Gérer le fournisseur
EMM pour Android.
3. Sous Paramètres généraux, sélectionnez Appliquer les règles EMM sur les appareils Android.
Information associée
Console Google Admin
19.4 Configuration de l’inscription d’un appareil
Android Enterprise
Conditions préalables :
•
Vous avez configuré Android Enterprise pour le client.
Veuillez suivre les étapes ci-dessous pour configurer l’inscription d’un appareil Android Enterprise.
1. Créez une stratégie pour chaque type d’appareil Android Enterprise que vous voulez utiliser.
•
Pour les appareils entièrement gérés Android Enterprise, créez une stratégie de type Stratégie
d’appareil Android Enterprise.
•
Pour les appareils de profil professionnel Android Enterprise, créez une stratégie de type
Stratégie de profil professionnel Android Enterprise.
2. Créez une série de tâches pour chaque type d’appareil Android Enterprise que vous voulez utiliser.
La série de tâches doit au moins contenir une tâche Inscrire et une tâche Assigner une
stratégie pour la stratégie que vous avez créée auparavant.
3. Dans les paramètres du groupe du Portail libre-service, sélectionnez la série de tâches que vous
avez créée en tant que package initial.
382
Copyright © Sophos Limited
Sophos Mobile
Vous pouvez configurer différents packages pour les appareils professionnels et personnels.
Par exemple, choisissez la gestion complète de l’appareil pour les appareils professionnels et la
gestion du profil professionnel des appareils personnels.
4. Approuvez l’appli Sophos Mobile Control dans Google Play d’entreprise.
Autrement, l’appli ne se mettra pas à jour correctement.
Après avoir configuré l’inscription de l’appareil, les utilisateurs de Sophos Mobile Self Service Portal
peuvent inscrire leurs appareils Android à Sophos Mobile.
Si vous avez installé Android Enterprise dans le cadre d’un compte Google Play d’entreprise, vous
pouvez également inscrire les appareils à l’aide de l’assistant Ajouter un appareil.
Pour le scénario de Compte Google Play géré, un utilisateur peut uniquement inscrire 10 appareils à
la fois. Cette limite est définie par Google et pourrait changer à l’avenir.
Tâches connexes
Création d’une stratégie (page 113)
Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si
vous souhaitez gérer différents types d’appareils.
Création d’une série de tâches (page 336)
Créez des séries de tâches distinctes pour Android, iOS et les autres plates-formes d’appareils que
vous souhaitez gérer.
Création des différentes configurations du Portail libre-service (page 28)
Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les
utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail
libre-service.
Validation d’une app Google Play d’entreprise (page 388)
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
Inscription des appareils Android Enterprise (page 50)
Pour Android Enterprise, les appareils sont généralement inscrits dans le Sophos Mobile Self Service
Portal.
19.5 Gestion des utilisateurs pour Android
Enterprise (scénario Domaine Google d’entreprise)
Remarque
Cette section décrit la gestion des comptes d’utilisateur Google si vous avez créé un compte
Android Enterprise à l’aide d’un scénario Domaine Google d’entreprise.
Pour le scénario Compte Google Play géré, Sophos Mobile gère les comptes Google de vos
utilisateurs de manière transparente.
Un utilisateur doit avoir un Compte Google géré pour inscrire un appareil Android Enterprise. Ce
compte est connecté au domaine que vous avez enregistré dans Google.
Les noms de compte ont un format semblable à une adresse email, par exemple
utilisateur@votre_domaine_Google_géré.
Lorsqu’un utilisateur inscrit un appareil dans le Sophos Mobile Self Service Portal, Sophos Mobile
vérifie qu’un compte Google géré existe déjà sur le serveur Google pour l’utilisateur. Pour cette
opération, la partie gauche de l’adresse électronique de l’utilisateur indiquée dans Sophos Mobile
Copyright © Sophos Limited
383
Sophos Mobile
est combinée au nom de votre domaine Google géré. Si aucun compte de ce nom existe, Sophos
Mobile le crée.
Exemple : si l’adresse électronique de l’utilisateur dans Sophos Mobile est
utilisateur@votre_entreprise.fr et que votre domaine Google géré est
votre_domaine_Google_géré, Sophos Mobile recherche un compte nommé
utilisateur@votre_domaine_Google_géré sur le serveur Google.
Hormis la création d’un compte Google géré pour l’utilisateur au cours de la procédure d’inscription,
Sophos Mobile ne gère pas le cycle de vie du compte. Si vous supprimez le compte d’utilisateur
dans Sophos Mobile, le compte Google géré de l’utilisateur n’est pas supprimé.
Vous pouvez gérer les comptes pour votre Domaine Google géré à partir de la console
d’administration Google. Si nécessaire, vous pouvez créer des comptes à partir de votre répertoire
LDAP à l’aide de Google Apps Directory Sync (GADS).
Information associée
Console d’administration Google (lien externe)
À propos de Google Apps Directory Sync (lien externe)
19.6 Verrouillage du profil professionnel
Vous pouvez verrouiller ou déverrouiller le profil professionnel dans Sophos Mobile Admin. Lorsque
le profil professionnel est verrouillé, toutes les apps du profil professionnel ne sont plus disponibles
et aucune notification ne s’affiche pour ces apps.
Restriction
Ces instructions ne s’appliquent pas aux appareils Android Enterprise entièrement gérés.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouiller ou
déverrouiller le profil professionnel et cliquez sur Afficher.
3. Cliquez sur Actions > Définir l’accès au conteneur Sophos.
4. Sélectionnez les autorisations d’accès.
•
Refuser : le profil professionnel est verrouillé. Les utilisateurs ne peuvent plus accéder aux
apps ou données depuis le profil professionnel.
•
Autoriser : le profil professionnel est déverrouillé.
•
Mode Auto : le profil professionnel est verrouillé si l’appareil enfreint une règle de conformité
contenant l’action Verrouiller le conteneur. Il s’agit du comportement par défaut si vous
n’avez pas défini d’autorisation d’accès.
5. Cliquez sur Oui.
L’appareil est synchronisé avec le serveur Sophos Mobile. Une fois l’opération terminée, le paramètre
est appliqué à l’appareil.
Conseil
Pour verrouiller tout l’appareil et non pas le profil professionnel uniquement, veuillez utiliser
Actions > Verrouiller.
384
Copyright © Sophos Limited
Sophos Mobile
Conseil
Les utilisateurs peuvent verrouiller le profil professionnel à partir du panneau Paramètres rapides
de l’appareil (par exemple ; lorsqu’ils sont en congés).
19.7 Suppression du profil professionnel de
l’appareil
Restriction
Ces instructions ne s’appliquent pas aux appareils Android Enterprise entièrement gérés.
Vous pouvez supprimer le profil professionnel dans Sophos Mobile Admin pour supprimer les
données professionnelles de l’appareil en cas de perte ou de vol.
Lorsque vous supprimez le profil professionnel de l’appareil, toutes les apps installées dans le profil
professionnel, notamment l’app Sophos Mobile Control, sont également supprimées. Dans Sophos
Mobile Admin, l’appareil apparaît sous l’état Désinscrit.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez supprimer le profil
professionnel et cliquez sur Afficher.
3. Cliquez sur Actions > Réinitialiser le profil professionnel Android.
Une tâche de suppression du profil professionnel est créée et transférée à l’appareil.
Remarque
Si l’utilisateur a déjà supprimé le profil professionnel manuellement, la tâche échoue car l’appareil
ne peut plus la recevoir.
Pour recréer le profil professionnel, l’utilisateur doit recommencer la procédure d’inscription dans le
Sophos Mobile Self Service Portal.
19.8 Suppression du profil professionnel par
l’utilisateur
Il se peut que l’utilisateur supprime le profil professionnel de son appareil soit accidentellement
soit intentionnellement. Sophos Mobile n’est pas en mesure de détecter si la suppression est
accidentelle ou intentionnelle. L’appareil continue d’apparaître sous l’état Profil professionnel.
Une fois que l’utilisateur a supprimé le profil professionnel, l’appareil ne peut plus se synchroniser
avec le serveur Sophos Mobile.
Conseil
Vous pouvez utiliser le rapport Appareils non synchronisés au cours des 7 derniers jours pour
identifier les appareils potentiellement affectés.
Si le profil professionnel a été supprimé accidentellement, il peut être réinscrit de la manière
suivante :
Copyright © Sophos Limited
385
Sophos Mobile
1. Vous supprimez l’appareil de Sophos Mobile.
2. L’utilisateur recommence l’inscription de l’appareil dans le Sophos Mobile Self Service Portal.
19.9 Protection contre la réinitialisation aux
paramètres d’usine Android
La protection contre la réinitialisation aux paramètres d’usine (FRP) est une fonction de sécurité
Android qui empêche l’accès non autorisé à l’appareil après réinitialisation.
Restriction
Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés.
Lorsqu’un compte Google est créé sur un appareil, les codes d’accès du compte sont nécessaires
pour déverrouiller l’appareil après la réinitialisation à ses paramètres d’usine.
Les appareils Android Enterprise entièrement gérés ne sont pas protégés par défaut par la fonction
FRP car il n’y a pas de compte Google sur l’appareil. Pour utiliser FRP sur ces appareils, configurez
un ou plusieurs comptes Google à assigner à tous vos appareils. Lorsqu’un appareil est réinitialisé et
que la fonction FRP est activée, il pourra uniquement être déverrouillé par l’un de ces comptes.
Lorsque vous avez configuré FRP, les appareils sont protégés comme suit :
•
Réinitialisation locale :
Lorsque l’appareil est réinitialisé dans l’appli Paramètres ou en appuyant sur les boutons de
l’appareil, la fonction FRP est activée par défaut. Pour changer ce comportement sur chaque
appareil, utilisez l’action de l’appareil Définir la protection contre la réinitialisation aux
paramètres d’usine.
•
Réinitialisation à distance :
Lorsque l’appareil est réinitialisé à distance dans Sophos Mobile Admin, la fonction FRP est
désactivée par défaut. Pour procéder à la réinitialisation à distance avec la fonction FRP activée,
sélectionnez Activer la protection contre la réinitialisation aux paramètres d’usine dans la
boîte de dialogue de confirmation de réinitialisation.
19.9.1 Configuration de la protection contre la réinitialisation aux
paramètres d’usine Android
Restriction
Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés.
La Protection contre la réinitialisation aux paramètres d’usine ou FRP (Factory Reset Protection)
est une fonction de sécurité d’Android qui permet à un appareil d’être réinitialisé à ses paramètres
d’usine uniquement lorsque les codes d’accès du compte Google sont connus.
Vous pouvez configurer les comptes Google pour leur permettre de déverrouiller tout appareil
Android Enterprise entièrement géré qui a été réinitialisé avec la fonction FRP activée.
Préparez vos comptes Google :
1. Créez un ou plusieurs comptes Google que vous voulez utiliser pour la protection contre la
réinitialisation aux paramètres d’usine ou utilisez des comptes existants.
386
Copyright © Sophos Limited
Sophos Mobile
Attention
Assurez-vous de partager les codes d’accès du compte avec votre organisation. Ils sont
nécessaires pour déverrouiller un appareil réinitialisé à ses paramètres d’usine lorsque la
fonction de protection contre la réinitialisation aux paramètres d’usine était activée.
2. Récupérez les identifiants Google internes de vos comptes.
a) Rendez-vous sur https://accounts.google.com/Login
b) Connectez-vous au compte Google à utiliser pour utiliser la protection contre la réinitialisation
aux paramètres d’usine (FRP). Si vous êtes déjà connecté avec un autre compte, veuillez
d’abord vous déconnecter.
c) Rendez-vous sur https://developers.google.com/people/api/rest/v1/people/get
d) Dans la section Try this API, saisissez people/me dans le champ resourceName et names
dans le champ personFields.
e) Sélectionnez Execute.
Ceci permet d’appeller l’API Google.
Dans la réponse, l’identifiant Google interne est le nombre à 21 chiffres apparaissant sur une
ligne comme suit :
"resourceName": "people/123456789012345678901"
Configurez vos comptes Google dans Sophos Mobile Admin:
3. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android
puis l’onglet Android Enterprise.
4. Sous Protection contre la réinitialisation aux paramètres d’usine, sélectionnez Utiliser FRP.
5. Dans Identifiants Google+, saisissez les identifiants Google internes des comptes à utiliser pour
la protection contre la réinitialisation aux paramètres d’usine.
6. Sélectionnez Enregistrer.
La fonction FRP est activée pour tous vos appareils Android Enterprise entièrement gérés. Voici ce
qui se produire à la prochaine synchronisation d’un appareil avec le serveur Sophos Mobile.
Attention
Si les identifiants Google internes saisis dans Sophos Mobile Admin sont incorrects ou en cas
d’oubli des codes d’accès des comptes Google, les appareils deviennent inutilisables lorsque vous
restaurez leurs paramètres d’usine si la protection contre la réinitialisation aux paramètres d’usine
est activée.
19.10 Apps de la boutique Google Play administrée
Google Play d’entreprise est la boutique d’applis des appareils Android Enterprise.
Les applis suivantes peuvent être installées à partir de Google Play d’entreprise :
•
Applis publiques que vous avez approuvées pour votre organisation
•
Raccourcis du site Web (applis Web) que vous avez créés
•
Applis privées
Copyright © Sophos Limited
387
Sophos Mobile
Par défaut, les utilisateurs d’Android Enterprise ont uniquement accès aux applis approuvées dans
Google Play d’entreprise. La configuration Google Play vous permet de donner aux utilisateurs
l’accès à toutes les applis depuis Google Play.
Tâches connexes
Validation d’une app Google Play d’entreprise (page 388)
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
Ajout d’une appli Web (page 391)
Vous pouvez ajouter des raccourcis de sites Web à Google Play d’entreprise en tant qu’applis Web.
Ajout d’une appli privée (page 392)
Vous pouvez ajouter des applis privées à Google Play d’entreprise.
Référence associée
Google Play (stratégie d’appareil Android Enterprise) (page 132)
La configuration Google Play vous permet de gérer l’appli Google Play Store sur les appareils Android
Enterprise entièrement gérés.
Google Play (stratégie de profil professionnel Android Enterprise) (page 151)
La configuration Google Play vous permet de gérer l’appli Google Play Store dans le profil
professionnel.
19.10.1 Validation d’une app Google Play d’entreprise
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
Pour approuver une appli :
1.
2.
3.
4.
5.
6.
Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
Sur la page Applis - Android Enterprise, sélectionnez Ouvrir Google Play d’entreprise.
Dans la fenêtre Google Play d’entreprise, recherchez l’appli et sélectionnez Approuver.
Si l’appli requiert des autorisations, acceptez-les au nom de votre organisation.
Fermez la fenêtre Google Play d’entreprise.
Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications
que vous avez effectuées dans Google Play d’entreprise.
7. Patientez quelques secondes, puis rouvrez la page.
Une fois la synchronisation terminée, l’appli apparaît dans la liste.
8. Sélectionnez l’appli.
9. Configurez les paramètres de l’app de manière adéquate.
Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie.
10. Cliquez sur Enregistrer.
11. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la
disposition de vos utilisateurs.
Suite à la synchronisation des données sur le serveur Google, l’app est disponible dans la boutique
Google Play gérée.
Rendez-vous sur le site Web de Google Play d’entreprise pour effectuer les tâches suivantes :
•
Accepter les autorisations supplémentaires exigées par la mise à jour d’une appli.
•
Acheter les licences des applis payantes.
Référence associée
Paramètres des apps de la boutique Google Play gérée (page 390)
388
Copyright © Sophos Limited
Sophos Mobile
Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez
approuvée pour votre entreprise.
Information associée
Site Web de Google Play d’entreprise (lien externe)
Aide de Google Play géré (lien externe)
19.10.2 Annulation de la validation d’une appli Google Play
d’entreprise
Condition préalable : Vous supprimez l’appli de toutes les séries de tâches Android.
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
2. Sur la page Applis - Android Enterprise, cliquez sur le triangle bleu correspondant à l’appli dont
vous souhaitez annuler la validation et cliquez sur Afficher.
3. Cliquez sur Désapprouver.
Conseil
Vous pouvez également annuler la validation des applis dans Google Play d’entreprise.
19.10.3 Modification de l’app de la boutique Google Play gérée
Il est possible de modifier l’emplacement d’une appli et de la configurer.
Vous pouvez également définir la page et la catégorie d’une appli dans Google Play d’entreprise.
Certaines applis permettent de configurer d’autres paramètres.
Condition préalable : Vous avez approuvé l’appli dans Google Play d’entreprise.
Pour modifier l’appli :
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
2. Sur la page Applis - Android Enterprise, sélectionnez l’appli à modifier.
3. Configurez les paramètres de l’app de manière adéquate.
Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie.
4. Cliquez sur Enregistrer.
5. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la
disposition de vos utilisateurs.
Concepts connexes
Agencement de Google Play gérée (page 395)
Tâches connexes
Validation d’une app Google Play d’entreprise (page 388)
Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver.
Référence associée
Paramètres des apps de la boutique Google Play gérée (page 390)
Copyright © Sophos Limited
389
Sophos Mobile
Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez
approuvée pour votre entreprise.
19.10.4 Paramètres des apps de la boutique Google Play gérée
Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez
approuvée pour votre entreprise.
Paramètre
Description
Titre
Le nom de l’app externe affiché dans Google
Play géré.
Identifiant produit
Le nom interne de l’app.
Tarifs
Le type de tarif :
Type de distribution
URL de Google Play d’entreprise, URL de
Google Play
•
Gratuit
•
Gratuit avec les achats intégrés
•
Payé
•
Public (hébergé par Google) : app est
disponible au grand public dans Google
Play géré.
•
Privé (hébergé par Google) : app
que vous avez développée et qui est
uniquement accessible aux utilisateurs
appartenant à votre domaine Google géré.
Le fichier APK a été téléchargé dans Google
Play géré.
•
Privé (auto-hébergé) : semblable à Privé
(hébergé par Google) sauf que le fichier
APK est installé à partir de votre serveur
local. Google Play géré est uniquement
utilisé pour gérer la distribution.
L’adresse Web de l’app dans Google Play géré
et dans Google Play.
Cliquez sur le lien pour ouvrir cette page dans
une nouvelle fenêtre de navigation.
Page
La page sur laquelle l’app apparaîtra dans l’app
Google Play de l’utilisateur.
Les valeurs sont préconfigurées par Sophos
Mobile et ne peuvent pas être modifiées.
390
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Catégorie d’appli
Le nom d’une catégorie sous laquelle l’app
apparaîtra dans l’app Google Play Store de
l’utilisateur.
Lors de la saisie, une liste de catégories
correspondantes s’affiche. Si vous saisissez
une catégorie qui n’existe pas, celle-ci est
créée.
Vous pouvez configurer jusqu’à 30 catégories
par page et jusqu’à 100 applis par catégorie.
Licences
Cliquez sur Afficher à côte des Licences
pour voir ou modifier le nombre de licences
utilisées ou restantes pour l’appli ainsi que les
utilisateurs auxquels est assignée une licence.
Ce paramètre est uniquement disponible pour
les apps payantes.
Utiliser la configuration gérée
Sélectionnez cette option pour mettre la
configuration gérée à disposition de vos
utilisateurs.
Ceci sera appliqué le prochaine fois que vous
enverrez les paramètres de l’appli à Google.
Configuration gérée
Sélectionnez Configuration gérée pour voir ou
modifier les paramètres spécifiques à l’appli.
Retrouvez plus de renseignements sur les
paramètres disponibles dans la documentation
fournie par le développeur de l’app.
Ce paramètre est uniquement disponible si
l’app offre la configuration gérée.
Conseil
Vous pouvez utiliser les espaces réservés
%_USERNAME_% et %_EMAILADDRESS_% et les
remplacer par le nom et l’adresse électronique de
l’utilisateur.
19.10.5 Ajout d’une appli Web
Vous pouvez ajouter des raccourcis de sites Web à Google Play d’entreprise en tant qu’applis Web.
Une appli Web est une appli Android que vous créez à l’aide d’une URL de démarrage, d’une icône
et d’un titre. Lorsqu’un utilisateur ouvre une appli Web, l’URL de démarrage s’ouvre dans Chrome.
L’utilisateur peut ensuite accéder à d’autres URL.
Il est possible de configurer si la barre d’adresse Chrome et les boutons de navigation de l’appareil
sont visibles.
Copyright © Sophos Limited
391
Sophos Mobile
Remarque
Lorsque vous assignez une configuration Google Play à un appareil pour permettre aux
utilisateurs d’accéder à toutes les applis de Google Play, ils ne peuvent pas installer d’applis Web.
Vous pouvez toujours installer des applis Web via Sophos Mobile.
Pour ajouter une appli Web
1.
2.
3.
4.
5.
Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
Sur la page Applis - Android Enterprise, sélectionnez Ouvrir Google Play d’entreprise.
Dans la fenêtre Google Play d’entreprise, sélectionnez Applis Web dans la barre latérale.
Sélectionnez l’icône Plus, puis configurez les paramètres de l’appli.
Sélectionnez Créer.
L’appli peut prendre jusqu’à 10 minutes avant d’être disponible dans Google Play d’entreprise.
6. Fermez la fenêtre Google Play d’entreprise.
7. Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications
que vous avez effectuées dans Google Play d’entreprise.
8. Patientez quelques secondes, puis rouvrez la page.
Une fois la synchronisation terminée, l’appli apparaît dans la liste.
9. Sélectionnez l’appli.
10. Sur la page Modifier l’appli approuvée, configurez la page et l’emplacement de l’appli dans le
Google Play Store de vos utilisateurs.
Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie.
11. Cliquez sur Enregistrer.
12. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la
disposition de vos utilisateurs.
Référence associée
Google Play (stratégie d’appareil Android Enterprise) (page 132)
La configuration Google Play vous permet de gérer l’appli Google Play Store sur les appareils Android
Enterprise entièrement gérés.
Google Play (stratégie de profil professionnel Android Enterprise) (page 151)
La configuration Google Play vous permet de gérer l’appli Google Play Store dans le profil
professionnel.
19.10.6 Ajout d’une appli privée
Vous pouvez ajouter des applis privées à Google Play d’entreprise.
Une appli privée est une appli Android développée par votre organisation. Lorsque vous ajoutez
une appli privée à Google Play d’entreprise, elle n’est disponible que pour les utilisateurs de votre
organisation.
Attention
Lorsque vous ajoutez une appli privée, vous ne pouvez pas l’ajouter à un autre compte Google
Play. Vous ne pouvez pas la publier en tant qu’appli publique, même si vous supprimez l’appli
privée ultérieurement.
392
Copyright © Sophos Limited
Sophos Mobile
Remarque
Lorsque vous assignez une configuration Google Play à un appareil pour permettre aux
utilisateurs d’accéder à toutes les applis de Google Play, ils ne peuvent pas installer d’applis
privées. Vous pouvez toujours installer des applis privées via Sophos Mobile.
Pour ajouter une appli privée :
1.
2.
3.
4.
5.
Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
Sur la page Applis - Android Enterprise, sélectionnez Ouvrir Google Play d’entreprise.
Dans la fenêtre Google Play d’entreprise, sélectionnez Applis privées dans la barre latérale.
Sélectionnez l’icône Plus, puis configurez les paramètres de l’appli.
Sélectionnez Créer.
L’appli peut prendre jusqu’à 10 minutes avant d’être disponible dans Google Play d’entreprise.
6. Fermez la fenêtre Google Play d’entreprise.
7. Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications
que vous avez effectuées dans Google Play d’entreprise.
8. Patientez quelques secondes, puis rouvrez la page.
Une fois la synchronisation terminée, l’appli apparaît dans la liste.
9. Sélectionnez l’appli.
10. Sur la page Modifier l’appli approuvée, configurez la page et l’emplacement de l’appli dans le
Google Play Store de vos utilisateurs.
Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie.
11. Cliquez sur Enregistrer.
12. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la
disposition de vos utilisateurs.
Retrouvez plus de renseignements sur les applis privées dans l’aide de Google.
Information associée
Aide pour Google Play d’entreprise : Publier et gérer des applis privées
19.10.7 Installer l’app Google Play d’entreprise
Après avoir approuvé une app de la boutique Google Play gérée et avoir assigné les licences de l’app
à vos utilisateurs, vous pouvez installer l’app sur les appareils ou groupes d’appareils sélectionnés.
Remarque
Les utilisateurs peuvent installer les apps à l’aide de l’app de la boutique Google Play gérée.
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
2. Sur la page Applis - Android Enterprise, cliquez sur le triangle bleu correspondant à l’appli de
votre choix et cliquez sur Installer.
3. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une des manières
suivantes :
•
Sélectionnez chaque appareil individuellement.
•
Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes
d’appareils.
Copyright © Sophos Limited
393
Sophos Mobile
4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’appli sera installée :
•
Sélectionnez Maintenant pour une exécution immédiate.
• Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée.
5. Cliquez sur Terminer.
La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’app
sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été
transmise à Google.
19.10.8 Désinstallation d’une app de la boutique Google Play
gérée
Vous pouvez désinstaller une app de la boutique Google Play gérée des appareils ou groupes
d’appareils sélectionnés.
1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android.
2. Sur la page Applis - Android Enterprise, cliquez sur Désinstaller.
3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des
manières suivantes :
•
Sélectionnez chaque appareil individuellement.
•
Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes
d’appareils.
4. Sur la page Sélectionner une appli, sélectionnez l’appli requise.
5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’appli sera désinstallée :
•
Sélectionnez Maintenant pour une exécution immédiate.
• Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée.
6. Cliquez sur Terminer.
Une tâche de désinstallation de l’app es transmise au service Google. Google gère ensuite la
désinstallation de l’app de l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès
lorsqu’elle a bien été transmise à Google.
Conseil
Vous pouvez également choisir de suivre la procédure de désinstallation de l’appli d’un seul
appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Applis
installées, cliquez sur la corbeille correspondant au nom de l’appli.
19.10.9 Licences pour les apps de la boutique Google Play
gérée
Pour les apps payantes que vous avez approuvées dans la boutique Google Play gérée, veuillez
assigner une licence d’app à un utilisateur afin que cette app soit disponible à l’utilisateur.
Configurez l’assignation de la licence sur la page Modifier l’appli approuvée. Retrouvez plus de
renseignements à la section Modification de l’app de la boutique Google Play gérée (page 389).
394
Copyright © Sophos Limited
Sophos Mobile
Remarque
• Vous n’avez pas besoin d’assigner une licence en cas d’installation d’une app lancée par
l’administrateur. Lorsque vous installez une app conformément aux instructions de la section
Installer l’app Google Play d’entreprise (page 393), une licence issue du groupe de licences
que vous avez achetées est automatiquement assignée aux utilisateurs.
•
Vous n’avez pas besoin d’assigner une licence pour les apps gratuites que vous avez
approuvées dans la boutique Google Play gérée. Les applis gratuites sont automatiquement
mises à disposition de tous vos utilisateurs suite à la synchronisation de la liste des applis
entre Google et Sophos Mobile.
19.10.10 Agencement de Google Play gérée
Vous pouvez définir l’emplacement des apps de la boutique Google Play gérée dans l’app Play
Store des utilisateurs.
Les éléments d’agencement configurables sont les Pages et les Catégories.
•
Les Pages sont des vues nommées défilant verticalement. Les pages et leurs noms sont prédéfinis
par Sophos Mobile.
•
Les Catégories sont des sous-sections nommées d’une page défilant horizontalement que vous
définissez. Les catégories sont également appelées clusters dans la documentation Google.
•
Chaque catégorie est spécifique à une certaine page et chaque app apparaît sous une certaine
catégorie.
•
Les pages ne contenant aucune app ne sont pas affichées.
•
Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie.
Vous définissez la page et, facultativement, la catégorie pour chaque app affichée dans l’app Google
Play Store pour les entreprises sur l’appareil de l’utilisateur. Par défaut, les apps sont placées sur
une page nommée Autre.
Vous configurez l’agencement de la page de la boutique sur la page Modifier l’appli approuvée.
Retrouvez plus de renseignements à la section Modification de l’app de la boutique Google Play
gérée (page 389).
19.10.11 Configuration gérée
Une appli de la boutique Google Play gérée peut offrir une configuration gérée. Cette fonction est
incluse par le développeur d’applis et vous permet de configurer les paramètres personnalisés de
l’appli.
Si une appli prend en charge la configuration gérée, une note Cette application propose la
configuration gérée est affichée sur la page de l’appli dans Google Play géré.
Vous configurez les paramètres de l’appli sur la page Modifier l’appli approuvée. Retrouvez plus
de renseignements à la section Modification de l’app de la boutique Google Play gérée (page 389).
Copyright © Sophos Limited
395
Sophos Mobile
20 Mobile Threat Defense avec Sophos
Intercept X for Mobile
Sophos Intercept X for Mobile est une solution Mobile Threat Defense (MTD) pour les appareils
Android, iOS et iPad.
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
La gestion de Sophos Intercept X for Mobile avec Sophos Mobile vous permet d’effectuer les tâches
suivantes :
•
Assigner une stratégie Mobile Threat Defense à l’appareil pour configurer Sophos Intercept X for
Mobile.
•
Assigner une stratégie de conformité à l’appareil pour surveiller son état de conformité.
•
Effectuer un contrôle antimalware sur les appareils Android.
Retrouvez plus de renseignements sur les fonctions de l’appli dans l’aide de Sophos Intercept X for
Mobile.
Conseil
Vous pouvez également gérer Sophos Intercept X for Mobile sur les appareils inscrits à un logiciel
EMM (Enterprise Mobility Management) tiers. Le logiciel EMM tiers doit être compatible avec les
paramètres de l’app.
Concepts connexes
Configuration des stratégies Mobile Threat Defense pour Android (page 172)
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
Configuration des stratégies Mobile Threat Defense pour iOS (page 261)
Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile
lorsqu’elle est inscrite à Sophos Mobile.
Tâches connexes
Contrôle de l’appareil (page 59)
Utilisation de Sophos Intercept X for Mobile avec un logiciel EMM tiers (page 398)
Vous pouvez gérer Sophos Intercept X for Mobile sur les appareils inscrits à un programme EMM
(Enterprise Mobility Management) tiers.
Référence associée
Règles de conformité pour Mobile Threat Defense (page 397)
Vous pouvez configurer des règles de conformité pour les appareils sur lesquels Sophos Intercept X
for Mobile est géré par Sophos Mobile.
Information associée
Aide de Sophos Intercept X for Mobile
396
Copyright © Sophos Limited
Sophos Mobile
20.1 Règles de conformité pour Mobile Threat
Defense
Vous pouvez configurer des règles de conformité pour les appareils sur lesquels Sophos Intercept X
for Mobile est géré par Sophos Mobile.
Règle
Description
Plates-formes
Administration obligatoire
Définit l’action qui sera effectuée
lorsque l’appareil ne sera plus
administré.
Android
Accès à la racine autorisé
Autorisez ou non les appareils avec
les droits root.
Android
Autoriser le débridage
Autorisez ou non les appareils
débridés.
iOS
Version minimum du système
d’exploitation
Sélectionnez la version la plus
ancienne du système d’exploitation
autorisée.
Android
Version maximale du système
d’exploitation
Sélectionnez la version la plus
récente du système d’exploitation
autorisée.
Android
Intervalle maximum entre les
synchronisations d’Intercept X for
Mobile
L’intervalle maximal autorisé auquel
Sophos Intercept X for Mobile doit se
synchroniser avec Sophos Mobile.
Android
Intervalle maximum entre les
contrôles d’Intercept X for Mobile
Intervalle maximal autorisé pour les
contrôles antimalware.
Android
Les autorisations pour Intercept X
for Mobile peuvent être refusées
Sélectionnez si l’appareil devient
non conforme si l’utilisateur déchiffre
les autorisations d’application pour
Sophos Intercept X for Mobile.
Android
Applis malveillantes autorisées
Sélectionnez si les applis
malveillantes détectées par Sophos
Intercept X for Mobile sont autorisées.
Android
Applis suspectes autorisées
Sélectionnez si les applis suspectes
détectées par Sophos Intercept X for
Mobile sont autorisées.
Android
Applis potentiellement
indésirables autorisées
Sélectionnez si les applis
potentiellement indésirables (PUA)
détectées par Sophos Intercept X for
Mobile sont autorisées.
Android
Copyright © Sophos Limited
iOS
iOS
iOS
iOS
397
Sophos Mobile
20.2 Utilisation de Sophos Intercept X for Mobile
avec un logiciel EMM tiers
Vous pouvez gérer Sophos Intercept X for Mobile sur les appareils inscrits à un programme EMM
(Enterprise Mobility Management) tiers.
Dans Sophos Mobile, vous générez un code de connexion contenant les détails de l’inscription.
Dans le programme EMM tiers, saisissez ce code de connexion et d’autres options dans la
configuration gérée de Sophos Intercept X for Mobile. Lorsque le programme EMM tiers installe
l’appli, il l’inscrit automatiquement à Sophos Mobile.
Remarque
Pour Android, l’appareil doit être inscrit sous le mode Android Enterprise.
1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration de
Sophos puis l’onglet EMM tiers.
2. Sélectionnez Générer le code de connexion.
Le code contient toutes les informations utiles requises par Sophos Intercept X for Mobile pour
s’inscrire à Sophos Mobile.
3. Configurez les paramètres suivants :
Paramètre
Description
Propriétaire
Confirmez si les appareils appartiennent à
votre organisation (Professionnel) ou non
(Personnel).
Groupe d’appareils
Le groupe d’appareils Sophos Mobile auquel
les appareils sont assignés.
Stratégie Mobile Threat Defense (Android)
Facultatif : La stratégie Sophos Mobile
pour Sophos Intercept X for Mobile sur les
appareils Android.
Stratégie Mobile Threat Defense (iOS)
Facultatif : La stratégie Sophos Mobile pour
Sophos Intercept X for Mobile sur les iPhones
et iPads.
4. Cliquez sur Enregistrer.
5. Sélectionnez Copier à côté de Code de connexion pour copier la valeur dans le bloc-notes.
Vous avez besoin du code de connexion pour configurer le programme EMM tiers.
6. Ajoutez Sophos Intercept X for Mobile au programme EMM tiers.
7. Dans le programme EMM tiers, modifiez la configuration gérée de l’appli.
Pour l’appli Android, les paramètres sont donnés et il vous suffit juste de saisir les valeurs.
Pour l’appli iOS, saisissez le nom, le type (chaîne ou booléen) et la valeur de chaque paramètre.
398
Copyright © Sophos Limited
Sophos Mobile
Tableau 1 : Paramètres de l’appli Android Sophos Intercept X for Mobile
Paramètre
Description
Email
Facultatif : l’adresse email que vous voulez assigner à
l’appareil dans Sophos Mobile.
Code de connexion
Le code de connexion copié depuis Sophos Mobile.
ID de l’appareil
L’identifiant unique de l’appareil utilisé par l’application EMM
tierce. La valeur est utilisée pour relier l’appareil créé dans
Sophos Mobile à l’appareil dans le programme EMM tiers.
Device name
Facultatif : Le nom de l’appareil utilisé par le programme EMM
tiers.
CLUF désactivé
Facultatif : Le Contrat de licence de l’utilisateur final (CLUF)
n’est pas affiché au démarrage de l’appli.
Connecter à Intune
Facultatif : L’appli démarre automatiquement l’assistant de
connexion à Intune.
Tableau 2 : Paramètres de l’appli iOS Sophos Intercept X for Mobile
Paramètre
Description
email
Facultatif : l’adresse email que vous voulez assigner à
l’appareil dans Sophos Mobile.
(Chaîne)
smcData
Le code de connexion copié depuis Sophos Mobile.
(Chaîne)
deviceId
(Chaîne)
deviceName
(Chaîne)
macAddress
(Chaîne)
L’identifiant unique de l’appareil utilisé par l’application EMM
tierce. La valeur est utilisée pour relier l’appareil créé dans
Sophos Mobile à l’appareil dans le programme EMM tiers.
Facultatif : Le nom de l’appareil utilisé par le programme EMM
tiers.
Facultatif : l’adresse MAC de l’appareil. La valeur est utilisée
pour identifier l’appareil lorsqu’il se connecte à un point
d’accès Wi-Fi Sophos.
Obligatoire pour Synchronized Security.
eulaDisabled
(Booléen)
startIntuneConnection
(Booléen)
Copyright © Sophos Limited
Facultatif : Le Contrat de licence de l’utilisateur final (CLUF)
n’est pas affiché au démarrage de l’appli.
Facultatif : L’appli démarre automatiquement l’assistant de
connexion à Intune.
399
Sophos Mobile
Retrouvez plus de renseignements sur la modification de la configuration gérée dans la
documentation du programme EMM tiers.
Conseil
S’ils sont compatibles avec votre programme EMM tiers, nous vous conseillons d’utiliser des
espaces réservés pour indiquer les propriétés de l’appareil et de l’utilisateur.
8. Installez Sophos Intercept X for Mobile via le programme EMM tiers.
La première fois qu’appareil démarre après l’installation, Sophos Intercept X for Mobile s’inscrit à
Sophos Mobilede . Vous pouvez gérer l’appli depuis la page Appareils dans Sophos Mobile Admin.
Si nécessaire, vous pouvez révoquer le code de connexion pour bloquer de futures inscriptions d’app.
400
Copyright © Sophos Limited
Sophos Mobile
21 Protection d’app Intune
Intune est un service de Microsoft permettant de gérer les appareils mobiles et les apps. La
protection de l’app Intune vous permet de définir les limites d’utilisation par apps et de les assigner à
vos utilisateurs.
La protection de l’app Intune est basée sur l’identité de l’utilisateur et ne nécessite aucune gestion
des appareils pour sécuriser vos données professionnelles. Elle est parfaitement adaptée aux
programmes BYOD (Bring Your Own Device).
Vous pouvez gérer vos stratégies de protection de l’app Intune dans Sophos Mobile Admin.
Fonctions et conditions requises
•
Les appareils n’ont pas besoin d’être inscrits à Sophos Mobile.
•
Les stratégies de protection de l’app Intune peuvent être appliquées aux apps Office 365 et aux
autres apps qui ont été intégrées à Intune App SDK.
•
Les stratégies sont uniquement appliquées lorsque les utilisateurs se connectent à une app avec
leur compte professionnel. Aucune limite d’utilisation ne s’applique lorsqu’ils se connectent avec
leur compte personnel.
•
Vous devez avoir un abonnement « Premium » à Azure Active Directory (AD).
•
Les utilisateurs doivent avoir une licence Intune assignée à leur compte Azure AD.
•
Pour l’app Microsoft Outlook, les utilisateurs doivent avoir une boîte de réception et une licence
Office 365 Exchange Online associée à leur compte Azure AD.
•
Pour les apps Microsoft Word, Excel et PowerPoint, les utilisateurs doivent avoir une licence Office
365 Business ou Enterprise associée à leur compte Azure AD.
Information associée
Documentation Microsoft Intune (lien externe)
Apps Microsoft Intune (lien externe)
21.1 Paramétrage de l’intégration de Microsoft
Intune
Pour gérer les stratégies de protection de l’app Intune dans Sophos Mobile Admin, vous devez inscrire
Sophos Mobile en tant qu’application Microsoft Azure. Nous vous conseillons d’utiliser l’Inscription à
Microsoft Azure.
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet Microsoft Azure.
2. Cliquez sur Assistant Inscription de Microsoft Azure.
L’assistant vous guide tout au long de la procédure d’enregistrement dans le portail Microsoft
Azure et dans Sophos Mobile Admin :
a) Créez une application pour Sophos Mobile dans le portail Microsoft Azure.
b) Saisissez l’ID de l’application dans Sophos Mobile.
Copyright © Sophos Limited
401
Sophos Mobile
c) Téléchargez le certificat du serveur Sophos Mobile sur votre application.
d) Accordez les autorisations requises à votre application.
L’assistant contient également une page pour configurer l’authentification fédérée. Suivez
uniquement les étapes sur cette page si vous voulez utiliser l’authentification fédérée avec Azure
Active Directory plutôt qu’avec la gestion des utilisateurs internes ou externes. Retrouvez plus de
renseignements à la section Authentification fédérée (page 106).
Lorsque vous avez terminé la procédure de création; une nouvelle entrée Stratégies > Protection
d’appli Intune est créée dans le menu latéral de Sophos Mobile Admin.
21.2 Création d’une stratégie de protection de l’app
Intune
Une stratégie de protection de l’app Intune vous permet de limiter l’utilisation de données en fonction
de l’identité de l’utilisateur. Ces limites s’appliquent uniquement lorsque l’app est utilisée dans un
contexte professionnel, c’est-à-dire, qu’un utilisateur assigné a recours à un compte professionnel
pour ouvrir une app.
Veuillez créer des stratégies différentes pour les apps Android et iOS.
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune.
2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et
connectez-vous à votre compte d’administrateur de Microsoft Azure.
Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la
session Sophos Mobile Admin en cours.
3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur Ajouter
puis sur Stratégie Android ou Stratégie iOS.
4. Sur la page Modification de la stratégie, saisissez les paramètres requis.
Retrouvez plus de renseignements aux sections Paramètres de la stratégie de protection de l’app
Intune (Android) (page 404) et Paramètres de la stratégie de protection de l’appli Intune (iOS,
iPadOS) (page 409).
5. Cliquez sur Enregistrer.
Vous pouvez voir la stratégie dans le portail Microsoft Azure. Vous devrez peut-être vous
reconnecter au portail pour actualiser les informations affichées.
Après avoir créé la stratégie de protection de l’app Intune, assignez-la aux apps et aux utilisateurs.
Retrouvez plus de renseignements aux sections Assignation des apps à une stratégie de protection
de l’app Intune (page 402) et Assignation des utilisateurs à une stratégie de protection de l’appli
Intune (page 403).
21.3 Assignation des apps à une stratégie de
protection de l’app Intune
Une stratégie de protection de l’app Intune s’applique uniquement aux apps auxquelles vous
l’assignez.
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune.
2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et
connectez-vous à votre compte d’administrateur de Microsoft Azure.
402
Copyright © Sophos Limited
Sophos Mobile
Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la
session Sophos Mobile Admin en cours.
3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur le
triangle bleu correspondant à la stratégie à laquelle vous souhaitez assigner les apps et cliquez sur
Assigner les applis.
4. Sélectionnez les apps auxquelles vous voulez assigner la stratégie.
Cette liste inclut toutes les apps Android ou iOS que vous avez ajoutées à votre compte Microsoft
Intune dans le portail Microsoft Azure.
5. Cliquez sur Enregistrer.
Vous pouvez voir l’assignation d’une app dans le portail Microsoft Azure. Vous devrez peut-être
vous reconnecter au portail pour actualiser les informations affichées.
21.4 Assignation des utilisateurs à une stratégie de
protection de l’appli Intune
Une stratégie de protection de l’appli Intune s’applique uniquement à une appli utilisée par un
utilisateur assigné. Vous assignez les utilisateurs par groupes de sécurité Azure Active Directory (AD).
1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune.
2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et
connectez-vous à votre compte d’administrateur de Microsoft Azure.
Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la
session Sophos Mobile Admin en cours.
3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur le
triangle bleu correspondant à la stratégie à laquelle vous souhaitez assigner les utilisateurs et
cliquez sur Assigner les groupes d’utilisateurs.
4. Dans la liste des groupes de sécurité Azure AD disponibles, sélectionnez les groupes que vous
voulez inclure ou exclure :
•
Inclure : La stratégie s’applique aux membres de ce groupe.
•
Exclure : La stratégie ne s’applique pas aux membres de ce groupe, même s’ils sont
également membres d’un groupe Inclure.
•
Non assigné : La stratégie ne s’applique pas aux membres de ce groupe, sauf s’ils sont
également membres d’un groupe Inclure.
5. Cliquez sur Enregistrer.
Vous pouvez voir l’assignation d’un utilisateur dans le portail Microsoft Azure. Vous devrez peut-être
vous reconnecter au portail pour actualiser les informations affichées.
Remarque
La stratégie s’applique uniquement aux utilisateurs avec une licence Intune assignée à leur
compte Azure AD. Les autres utilisateurs des groupes de sécurité sélectionnés ne sont pas
affectés.
Copyright © Sophos Limited
403
Sophos Mobile
21.5 Paramètres de la stratégie de protection de
l’app Intune (Android)
Une stratégie Protection d’appli Intune vous permet de définir les limites d’utilisation des apps
administrées par Intune. Cette section décrit les paramètres disponibles pour les apps Android.
Paramètres généraux
Paramètre
Description
Nom
Le nom de la stratégie.
Description
Une brève description de la stratégie.
Réadressage des données
Sous Réadressage des données, vous pouvez configurer la manière dont les données sont
autorisées à entrer ou à quitter l’app.
Remarque
Tous les paramètres s’appliquent à l’accès des utilisateurs aux données lorsqu’ils se connectent
avec leur compte professionnel.
404
Paramètre
Description
Interdire les sauvegardes Android
L’app n’utilise pas le service de sauvegarde
d’Android.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Autoriser l’application à transférer les
données vers d’autres applications
Les apps vers lesquelles cette app peut
transférer des données :
Applis gérées par la stratégie : Autoriser
uniquement le transfert vers d’autres apps
gérées par une stratégie Intune.
Toutes les applis : Autoriser le transfert vers
les apps.
Aucune appli : Ne pas autoriser le transfert
vers les apps.
Remarque
•
Il peut y avoir des apps et services vers
lesquels le transfert de données est toujours
autorisé. Retrouvez plus de renseignements
sur l’exemption de transfert de données dans
la documentation Microsoft Intune.
•
Autoriser l’application à recevoir des
données d’autres applications
Le transfert de données vers une app
instantanée Android est toujours bloqué.
Les apps à partir desquelles cette app peut
recevoir des données :
Applis gérées par la stratégie : Autoriser
uniquement le transfert à partir d’autres apps
gérées par une stratégie Intune.
Toutes les applis : Autoriser le transfert à partir
des apps.
Aucune appli : Ne pas autoriser le transfert à
partir des apps.
Remarque
•
Il peut y avoir des apps et services à partir
desquels le transfert de données est toujours
autorisé. Retrouvez plus de renseignements
sur l’exemption de transfert de données dans
la documentation Microsoft Intune.
•
Interdire « Enregistrer sous »
Copyright © Sophos Limited
Le transfert de données à partir d’une app
instantanée Android est toujours bloqué.
L’option Enregistrer sous de l’app est
désactivée.
405
Sophos Mobile
Paramètre
Description
Emplacements de stockage
Si Interdire « Enregistrer sous » est
sélectionné, veuillez sélectionner les
emplacements de stockage des données
professionnelles.
Les utilisateurs peuvent enregistrer sous
les emplacements sélectionnés. Les autres
emplacements sont bloqués.
Restreindre les opérations couper, copier et
coller avec d’autres applications
Sélectionnez la manière dont les actions
couper, copier et coller peuvent être utilisées
avec l’app.
Bloquées : Ne pas autoriser les opérations
couper, copier et coller entre cette app et
d’autres apps.
Applis gérées par la stratégie : Autoriser les
opérations couper, copier et coller entre cette
app et d’autres apps gérées par la stratégie
Intune.
Gérées par stratégie avec collage : Autoriser
les opérations couper ou copier entre cette app
et d’autres apps gérées par la stratégie Intune.
Autoriser le collage de données dans cette app
à partir d’autres apps.
Toutes les applis : Aucune restriction pour les
opérations couper, copier et coller dans et à
partir de cette app.
Afficher le contenu web uniquement dans
Managed Browser
Appliquer l’ouverture des liens vers le Web
dans l’app Intune Managed Browser.
Chiffrer les données de l’appli
Les données sont chiffrées selon un
programme de chiffrement défini par Intune.
Désactiver la synchronisation des contacts
L’app n’enregistre pas les données dans l’app
Contacts.
Désactiver l’impression
L’impression est désactivée dans l’app.
Accès
Sous Accès, vous pouvez configurer la façon dont les utilisateurs vont accéder à l’app lorsqu’ils se
connectent avec leur compte professionnel.
406
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Demander le code confidentiel pour l’accès
Un code confidentiel est nécessaire pour
démarrer l’app.
Les utilisateurs sont invités à créer un code
confidentiel à leur première connexion à leur
compte professionnel.
Remarque
Toutes les apps Android administrées par Intune
partagent le même code confidentiel.
Nombre de tentatives avant réinitialisation
du code confidentiel
Le nombre de tentatives ratées de connexion
avant la réinitialisation du code confidentiel.
Interdire l’utilisation de code confidentiel
simple
Les utilisateurs ne sont pas autorisés à utiliser
des séquences simples telles que 1234 ou 1111
pour créer leur code confidentiel.
Longueur du code confidentiel
Le nombre minimum de chiffres dans une
séquence de caractères du code confidentiel.
Interdire l’empreinte digitale
Les utilisateurs ne peuvent pas utiliser
l’authentification par empreinte digitale
à la place du code confidentiel pour
l’authentification.
Exiger des informations d’identification
d’entreprise pour l’accès
Les utilisateurs doivent saisir leur mot de passe
professionnel plutôt qu’un code confidentiel.
Ce paramètre remplace toutes les autres
conditions requises à l’utilisation d’un code
confidentiel.
Empêcher l’exécution d’applis gérées sur
des appareils débloqués (« rooted »)
Sur les appareils débloqués (« rooted »), les
utilisateurs ne peuvent pas utiliser l’app avec
leur compte professionnel.
Délai d’attente dépassé des conditions
d’accès
Le temps d’attente en minutes avant la nouvelle
vérification des conditions d’accès (définies
dans la stratégie) lorsque l’app est lancée.
Remarque
Une fois que les utilisateurs ont saisi leur code
confidentiel, ils peuvent utiliser d’autres apps
administrées par Intune sans avoir à saisir de
nouveau leur code confidentiel pendant la période
de temps paramétrée.
Copyright © Sophos Limited
407
Sophos Mobile
Paramètre
Description
Période de grâce hors connexion
Le temps en minutes pendant lequel un appareil
peut être hors connexion avant la nouvelle
vérification des conditions d’accès de l’app.
Dès que cette période a expiré, l’app demande
à l’utilisateur de se connecter au réseau et de
s’identifier à nouveau.
Intervalle hors connexion avant que les
données de l’appli soient effacées
Le nombre de jours pendant lesquels un
appareil peut être hors ligne avant que
l’utilisateur ne soit obligé de se reconnecter au
réseau et d’effectuer de nouveau la procédure
d’authentification.
En cas d’échec de l’authentification, les
données de l’app professionnelle sont effacées.
Remarque
Pour l’app Microsoft Outlook, l’effacement
des données de l’app entraîne également la
suppression des données enregistrées sur l’app
Contacts.
Bloquer la capture d’écran et l’Assistant
Android
Les utilisateurs ne peuvent pas faire des
captures d’écran ni utiliser l’Assistant Google.
L’image de l’app est également voilé dans la
liste des apps les plus récentes.
Version Android minimale requise
La version minimale d’Android requise pour
utiliser l’app.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale d’Android conseillée
La version minimale d’Android conseillée pour
utiliser l’app.
Si l’appareil ne satisfait pas aux conditions
requises, l’utilisateur reçoit une notification qu’il
peut ignorer.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale de l’appli requise
La version minimale de l’app requise pour
utiliser l’app.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
408
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Version minimale de l’appli conseillée
La version minimale de l’app conseillée pour
utiliser l’app.
Si l’app installée sur l’appareil ne satisfait pas
aux conditions requises, l’utilisateur reçoit une
notification qu’il peut ignorer.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale du correctif Android
requise
La version minimale du correctif de sécurité
d’Android requise pour utiliser l’app.
Saisissez la date du correctif au format JJ-MMAAAA.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale du correctif Android
conseillée
La version minimale du correctif de sécurité
d’Android conseillée pour utiliser l’app.
Saisissez la date du correctif au format JJ-MMAAAA.
Si l’appareil ne satisfait pas aux conditions
requises, l’utilisateur reçoit une notification qu’il
peut ignorer.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
21.6 Paramètres de la stratégie de protection de
l’appli Intune (iOS, iPadOS)
Une stratégie Protection d’appli Intune vous permet de définir les limites d’utilisation des applis
administrées par Intune. Cette section décrit les paramètres disponibles pour les applis iPhone et iPad.
Paramètres généraux
Paramètre
Description
Nom
Le nom de la stratégie.
Description
Une brève description de la stratégie.
Réadressage des données
Sous Réadressage des données, vous pouvez configurer la manière dont les données sont
autorisées à entrer ou à quitter l’app.
Copyright © Sophos Limited
409
Sophos Mobile
Remarque
Tous les paramètres s’appliquent à l’accès des utilisateurs aux données lorsqu’ils se connectent
avec leur compte professionnel.
Paramètre
Description
Interdire les sauvegardes iTunes et iCloud
L’appli ne sauvegarde pas les données dans
iTunes ou dans iCloud.
Autoriser l’application à transférer les
données vers d’autres applications
Les apps vers lesquelles cette app peut
transférer des données :
Applis gérées par la stratégie : Autoriser
uniquement le transfert vers d’autres apps
gérées par une stratégie Intune.
Toutes les applis : Autoriser le transfert vers
les apps.
Aucune appli : Ne pas autoriser le transfert
vers les apps.
Remarque
•
Il peut y avoir des apps et services vers
lesquels le transfert de données est toujours
autorisé. Retrouvez plus de renseignements
sur l’exemption de transfert de données dans
la documentation Microsoft Intune.
•
Autoriser l’application à recevoir des
données d’autres applications
Applis gérées par la stratégie et Aucune
appli empêchent également Siri de
rechercher des données dans l’app.
Les apps à partir desquelles cette app peut
recevoir des données :
Applis gérées par la stratégie : Autoriser
uniquement le transfert à partir d’autres apps
gérées par une stratégie Intune.
Toutes les applis : Autoriser le transfert à partir
des apps.
Aucune appli : Ne pas autoriser le transfert à
partir des apps.
Remarque
•
Il peut y avoir des apps et services à partir
desquels le transfert de données est toujours
autorisé. Retrouvez plus de renseignements
sur l’exemption de transfert de données dans
la documentation Microsoft Intune.
•
410
Certaines applis ignorent ce paramètre et
autorisent toutes les données entrantes.
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Interdire « Enregistrer sous »
L’option Enregistrer sous de l’app est
désactivée.
Emplacements de stockage
Si Interdire « Enregistrer sous » est
sélectionné, veuillez sélectionner les
emplacements de stockage des données
professionnelles.
Les utilisateurs peuvent enregistrer sous
les emplacements sélectionnés. Les autres
emplacements sont bloqués.
Restreindre les opérations couper, copier et
coller avec d’autres applications
Sélectionnez la manière dont les actions
couper, copier et coller peuvent être utilisées
avec l’app.
Bloquées : Ne pas autoriser les opérations
couper, copier et coller entre cette app et
d’autres apps.
Applis gérées par la stratégie : Autoriser les
opérations couper, copier et coller entre cette
app et d’autres apps gérées par la stratégie
Intune.
Gérées par stratégie avec collage : Autoriser
les opérations couper ou copier entre cette app
et d’autres apps gérées par la stratégie Intune.
Autoriser le collage de données dans cette app
à partir d’autres apps.
Toutes les applis : Aucune restriction pour les
opérations couper, copier et coller dans et à
partir de cette app.
Afficher le contenu web uniquement dans
Managed Browser
Copyright © Sophos Limited
Appliquer l’ouverture des liens vers le Web
dans l’app Intune Managed Browser.
411
Sophos Mobile
Paramètre
Description
Chiffrer les données de l’appli
Sélectionner les données à chiffrer. Les
données sont chiffrées à l’aide d’un programme
de chiffrement des appareils fourni.
Lorsque l’appareil est verrouillé : Les
données d’appli sont chiffrées lorsque l’appareil
est verrouillé.
Lorsque l’appareil est verrouillé et que des
fichiers sont ouverts : Les données d’appli
sont chiffrées lorsque l’appareil est verrouillé à
l’exception des données de fichiers ouverts.
Au redémarrage de l’appareil : Les données
d’appli sont chiffrées lorsque l’appareil est
redémarré et jusqu’à ce que l’appareil soit
déverrouillé pour la première fois.
Utiliser les paramètres de l’appareil : Les
données d’appli sont chiffrées en fonction des
paramètres de l’appareil.
Désactiver la synchronisation des contacts
L’app n’enregistre pas les données dans l’app
Contacts.
Désactiver l’impression
L’impression est désactivée dans l’app.
Accès
Sous Accès, vous pouvez configurer la façon dont les utilisateurs vont accéder à l’app lorsqu’ils se
connectent avec leur compte professionnel.
Paramètre
Description
Demander le code confidentiel pour l’accès
Un code confidentiel est nécessaire pour
démarrer l’app.
Les utilisateurs sont invités à créer un code
confidentiel à leur première connexion à leur
compte professionnel.
Remarque
Toutes les applis iPhone and iPad administrées
par Intune issues du même éditeur partagent le
même code confidentiel.
412
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Type de mot de passe
Le type de code confidentiel que les utilisateurs
doivent définir :
Numérique : Le code confidentiel contient
uniquement des chiffres.
Code secret : Le code confidentiel doit être
composé d’au moins une lettre, un caractère
spécial ou un symbole (disponible sur le clavier
en anglais).
Remarque
Certaines applis ne sont pas compatibles avec le
type Code secret.
Nombre de tentatives avant réinitialisation
du code confidentiel
Le nombre de tentatives ratées de connexion
avant la réinitialisation du code confidentiel.
Interdire l’utilisation de code confidentiel
simple
Les utilisateurs ne sont pas autorisés à utiliser
des séquences simples telles que 1234 ou 1111
pour créer leur code confidentiel.
Si Type de mot de passe est défini sur Code
secret, le code confidentiel doit être composé
d’au moins un chiffre, une lettre et un caractère
spécial ou symbole.
Longueur du code confidentiel
Le nombre minimum de caractères dans une
séquence de caractères du code confidentiel.
Interdire l’empreinte digitale
Les utilisateurs ne peuvent pas utiliser
Touch ID à la place du code confidentiel pour
l’authentification.
Interdire la reconnaissance des visages
Les utilisateurs ne peuvent pas utiliser
Face ID à la place du code confidentiel pour
l’authentification.
Exiger des informations d’identification
d’entreprise pour l’accès
Les utilisateurs doivent saisir leur mot de passe
professionnel plutôt qu’un code confidentiel.
Ce paramètre remplace toutes les autres
conditions requises à l’utilisation d’un code
confidentiel.
Empêcher l’exécution d’applis gérées sur
des appareils débridés (« jailbroken »)
Copyright © Sophos Limited
Sur les appareils débridés (« jailbroken »), les
utilisateurs ne peuvent pas utiliser l’appli avec
leur compte professionnel.
413
Sophos Mobile
Paramètre
Description
Délai d’attente dépassé des conditions
d’accès
Le temps d’attente en minutes avant la nouvelle
vérification des conditions d’accès (définies
dans la stratégie) lorsque l’app est lancée.
Remarque
Une fois que les utilisateurs ont saisi leur
code confidentiel, ils peuvent utiliser d’autres
applis administrées par Intune issues du même
éditeur sans avoir à saisir de nouveau leur
code confidentiel pendant la période de temps
paramétrée.
Période de grâce hors connexion
Le temps en minutes pendant lequel un appareil
peut être hors connexion avant la nouvelle
vérification des conditions d’accès de l’app.
Dès que cette période a expiré, l’app demande
à l’utilisateur de se connecter au réseau et de
s’identifier à nouveau.
Intervalle hors connexion avant que les
données de l’appli soient effacées
Le nombre de jours pendant lesquels un
appareil peut être hors ligne avant que
l’utilisateur ne soit obligé de se reconnecter au
réseau et d’effectuer de nouveau la procédure
d’authentification.
En cas d’échec de l’authentification, les
données de l’app professionnelle sont effacées.
Remarque
Pour l’app Microsoft Outlook, l’effacement
des données de l’app entraîne également la
suppression des données enregistrées sur l’app
Contacts.
Version minimale d’iOS requise
La version minimale d’iOS ou d’iPadOS requise
pour utiliser l’appli.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale d’iOS conseillée
La version minimale d’iOS ou d’iPadOS
conseillée pour utiliser l’appli.
Si l’appareil ne satisfait pas aux conditions
requises, l’utilisateur reçoit une notification qu’il
peut ignorer.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
414
Copyright © Sophos Limited
Sophos Mobile
Paramètre
Description
Version minimale de l’appli requise
La version minimale de l’app requise pour
utiliser l’app.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale de l’appli conseillée
La version minimale de l’app conseillée pour
utiliser l’app.
Si l’app installée sur l’appareil ne satisfait pas
aux conditions requises, l’utilisateur reçoit une
notification qu’il peut ignorer.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Version minimale requise de la version SDK
de la stratégie de protection d’appli Intune
La version minimale de la version SDK de la
stratégie de protection d’appli Intune requise sur
l’app.
Ne remplissez pas ce champ pour ignorer ce
paramètre.
Copyright © Sophos Limited
415
Sophos Mobile
22 Création d’administrateurs
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Administrateurs pour
ouvrir la page Affichage des administrateurs et cliquez sur Créer un administrateur.
2. Sur la page Modification de l’administrateur, configurez les informations du compte pour
l’administrateur.
•
Lorsque l’Annuaire LDAP externe est sélectionné en tant qu’annuaire d’utilisateurs pour le
client, vous pouvez cliquer sur Rechercher un utilisateur avec LDAP pour sélectionner un
compte LDAP déjà existant.
•
Si vous n’utilisez pas d’annuaire d’utilisateurs externes, saisissez les données adéquates dans
les champs Nom de connexion, Prénom, Nom, Adresse électronique et Mot de passe.
Le mot de passe que vous indiquez est un mot de passe à usage unique. Lorsque l’administrateur
se connecte pour la première fois, il est invité à le changer.
Remarque
Le champ Nom de connexion doit uniquement contenir des lettres (alphabet Latin), des
chiffres, des espaces et les caractères \!._-#.
3. Dans le champ Rôle, saisissez l’un des rôles disponibles.
Le rôle définit le type de droits d’accès à Sophos Mobile dont disposera le nouvel administrateur.
Retrouvez plus de renseignements à la section Rôles d’utilisateur (page 5).
4. Cliquez sur Enregistrer pour créer le compte d’administrateur.
Le nouvel administrateur est créé et apparaît sur la page Affichage des administrateurs. Envoyez les
codes d’accès de l’utilisateur (utilisateur, client et mot de passe à usage unique) au nouvel utilisateur.
Le nouvel utilisateur va pouvoir se connecter à Sophos Mobile Admin et va être invité à changer son
mot de passe.
416
Copyright © Sophos Limited
Sophos Mobile
23 Envoi d’un message aux appareils
Remarque
Ces instructions ne s’appliquent pas aux ordinateur Windows :
Vous pouvez envoyer un message personnalisé aux appareils administrés.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
La page Appareils apparaît.
2. Sélectionnez un ou plusieurs appareils, cliquez sur Actions puis sur Envoyer un message.
3. Dans la boîte de dialogue Saisir un message, saisissez le message que vous voulez envoyer.
Le message ne doit pas dépasser 500 caractères.
4. Cliquez sur Terminer.
Copyright © Sophos Limited
417
Sophos Mobile
24 Conteneur Sophos
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Le conteneur Sophos est un emplacement logique d’un appareil contenant les apps Sophos Secure
Workspace et Sophos Secure Email lorsqu’elles sont administrées par Sophos Mobile.
Le conteneur Sophos est compatible avec les plates-formes suivantes :
•
Android
•
iOS
24.1 Configuration de l’inscription d’un conteneur
Sophos
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Pour inscrire des appareils à Sophos Mobile à l’aide d’un type d’inscription Conteneur Sophos, vous
devez effectuer les étapes de configuration suivantes. Vous devez effectuer cette opération pour
chaque plate-forme (Android, iOS) sur laquelle vous souhaitez utiliser l’inscription d’un conteneur
Sophos.
1. Créez une stratégie de conteneur. Retrouvez plus de renseignements aux sections Configuration
des stratégies de conteneur Sophos pour Android (page 157) et Configuration des stratégies de
conteneur Sophos pour iOS (page 246).
2. Utilisez cette stratégie de conteneur dans une série de tâches.
La série de tâches doit au moins contenir une tâche Inscrire le conteneur Sophos et une tâche
Assigner une stratégie. Retrouvez plus de renseignements à la section Création d’une série de
tâches (page 336).
3. Utilisez cette série de tâches en tant que package initial pour les inscriptions dans le Sophos
Mobile Self Service Portal :
Dans les paramètres du Portail libre-service, dans l’onglet Paramètres de groupe, sélectionnez
la série de tâches dans le champ Package initial - appareils professionnels ou Package initial
- appareils personnels. Retrouvez plus de renseignements à la section Création des différentes
configurations du Portail libre-service (page 28).
24.2 Licence Mobile Advanced
Lorsque vous activez une licence Mobile Advanced, vous pouvez utiliser les fonctions
supplémentaires suivantes :
•
418
Gérer les applis Sophos Secure Workspace et Sophos Secure Email. Retrouvez plus de
renseignements à la section Gestion des applis du conteneur Sophos (page 419).
Copyright © Sophos Limited
Sophos Mobile
•
Pour les appareils Android, les iPhones et les iPads, gérez Sophos Intercept X for Mobile.
Retrouvez plus de renseignements à la section Mobile Threat Defense avec Sophos Intercept X
for Mobile (page 396).
Après avoir reçu votre clé de licence, vous allez devoir activer la licence.
Activer une licence Mobile Advanced pour Sophos Mobile (version locale)
Dans Sophos Mobile (version locale), les licences sont gérées par le super administrateur dans la
gestion des clients. Retrouvez plus de renseignements dans le Guide du super administrateur de
Sophos Mobile (anglais).
Activer une licence Mobile Advanced pour Sophos Mobile (version SaaS)
Dans Sophos Mobile Admin, allez dans Configuration > Configuration de Sophos > Licence et
saisissez votre clé de licence dans le champ Clé de licence Advanced.
24.3 Gestion des applis du conteneur Sophos
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Pour une meilleure séparation des données sur les appareils administrés, Sophos Mobile met
à disposition les applis du conteneur Sophos dans Sophos Secure Email et Sophos Secure
Workspace :
•
Sophos Secure Email est une appli pour appareils Android et pour les iPhones et les iPads qui
met à votre disposition un conteneur sécurisé vous permettant d’administrer vos emails, votre
agenda et vos contacts.
•
Sophos Secure Workspace est une appli pour appareils Android et pour les iPhones et les iPads
qui permet aux utilisateurs d’accéder aux fichiers chiffrés stockés dans le Cloud. Les fichiers
sont déchiffrés et peuvent être consultés en toute simplicité. Les fichiers chiffrés peuvent être
fournis par d’autres applis et téléchargés dans l’un des emplacements de stockage Cloud pris en
charge. Vous pouvez également choisir d’archiver les documents localement sur l’app.
Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuard
Cloud Storage ou par SafeGuard Data Exchange. Tous deux sont des modules de SafeGuard
Enterprise ou une de ses éditions. Ils vous permettent de chiffrer les fichiers à l’aide de la clé
locale. Ces clés locales sont issues d’une phrase secrète saisie par un utilisateur. Vous pouvez
uniquement déchiffrer un fichier lorsque vous savez quelle phrase secrète a été utilisée pour
chiffrer le fichier.
Le conteneur Sophos fournit :
•
Des règles de mot de passe définies de manière centralisée
•
Des règles de mot de passe pour toutes les applis du conteneur
•
L’authentification unique pour toutes les applis du conteneur
•
Les paramètres documentaire de Sophos Secure Workspace
•
Les paramètres de navigateur de Sophos Secure Workspace
•
Les paramètres Sophos Secure Email
Copyright © Sophos Limited
419
Sophos Mobile
Vous pouvez administrer les applis Sophos avec Sophos Mobile de la manière suivante :
•
Vous pouvez configurer à distance et de manière centralisée les paramètres des applis du
conteneur Sophos sur tous les appareils administrés dans Sophos Mobile. Retrouvez plus de
renseignements aux sections Configuration des stratégies de conteneur Sophos pour Android
(page 157) et Configuration des stratégies de conteneur Sophos pour iOS (page 246).
•
Les stratégies de conformité vous permettent de vous assurer que les applis du conteneur Sophos
sont installées sur les appareils.
•
Vous pouvez activer la distribution sécurisée des documents en utilisant le fournisseur de
stockage Documents professionnels. Retrouvez plus de renseignements à la section Documents
professionnels (page 374).
•
Vous pouvez activer la synchronisation du jeu de clés professionnel entre l’appli Sophos Secure
Workspace et Sophos SafeGuard Enterprise. Cette opération permet d’avoir les clés disponibles
dans le jeu de clés SafeGuard de l’utilisateur à disposition dans le jeu de clés Sophos Secure
Workspace. Retrouvez plus de renseignements à la section Activation de la synchronisation du jeu
de clés professionnel (page 422).
Remarque
Pour administrer les applis du conteneur Sophos, celles-ci doivent être distribuées par Sophos
Mobile. Si les utilisateurs disposent déjà d’une version non administrée de Sophos Secure
Workspace sur leurs appareils, ils doivent d’abord la désinstaller et installer la version administrée.
Retrouvez plus de renseignements sur Sophos Secure Workspace dans l’Aide de Sophos Secure
Workspace.
24.4 Réinitialisation du mot de passe du conteneur
Sophos
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Remarque
Ces instructions s’appliquent uniquement aux appareils avec une stratégie de conteneur Sophos.
Vous pouvez réinitialiser le mot de passe du conteneur Sophos. Ceci s’avère par exemple utile
lorsque les utilisateurs oublient leur mot de passe. Si vous réinitialisez un mot de passe du
conteneur Sophos, l’utilisateur sera invité à créer un nouveau mot de passe de conteneur.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
La page Appareils apparaît.
2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe du conteneur Sophos.
La page Affichage de l’appareil apparaît.
3. Cliquez sur Actions.
Le menu Actions apparaît.
4. Cliquez sur Réinitialiser le mot de passe du conteneur Sophos.
5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération.
Le mot de passe du conteneur Sophos est réinitialisé. L’utilisateur doit saisir un nouveau mot de passe
du conteneur Sophos.
420
Copyright © Sophos Limited
Sophos Mobile
24.5 Verrouillage et déverrouillage du conteneur
Sophos
Remarque
Cette fonction nécessite une licence de type Mobile Advanced.
Remarque
Ces instructions s’appliquent uniquement aux appareils avec une stratégie de conteneur Sophos.
Vous pouvez verrouiller ou déverrouiller le conteneur Sophos, c’est-à-dire, que vous pouvez définir
les autorisations d’accès aux apps du conteneur Sophos et aux données du conteneur Sophos.
1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.
2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous
voulez verrouiller ou déverrouiller le conteneur Sophos et cliquez sur Afficher.
3. Sur la page Affichage de l’appareil, cliquez sur Actions > Définir l’accès au conteneur
Sophos.
4. Dans la boîte de dialogue de définition des autorisations d’accès, sélectionnez l’une des options
suivantes :
•
Refuser : le conteneur Sophos est verrouillé. Les utilisateurs ne pourront plus l’utiliser.
•
Autoriser : le conteneur Sophos est déverrouillé.
•
Mode Auto : Le conteneur Sophos est verrouillé tant que l’appareil enfreint une règle de
conformité pour laquelle Verrouiller le conteneur est activé. Il s’agit du comportement par
défaut si vous n’avez pas défini d’autorisation d’accès.
5. Cliquez sur Oui.
L’appareil est déclenché pour se synchroniser avec le serveur Sophos Mobile. Lors de l’opération de
synchronisation, le paramètre est appliqué à l’appareil.
24.6 Synchronisation du jeu de clés professionnel
La synchronisation du jeu de clés professionnel ajoute les fonctions suivantes à l’app Sophos
Secure Workspace :
•
Les clés disponibles dans le jeu de clés SafeGuard Enterprise de l’utilisateur sont disponibles dans
le jeu de clés de Sophos Secure Workspace (jeu de clés SSW).
•
Les utilisateurs de l’app peuvent alors utiliser les clés pour déchiffrer et voir les documents ou pour
chiffrer des documents.
•
Les utilisateurs peuvent continuer à utiliser les clés locales qui étaient disponibles dans leur jeu de
clés SSW même lorsque vous avez activé la synchronisation du jeu de clés.
•
Les utilisateurs ne peuvent pas créer de nouvelles clés locales.
•
Pour des raisons de sécurité, les clés dans le jeu de clés SafeGuard sont supprimées d’un appareil
lorsque le conteneur Sophos est verrouillé.
Copyright © Sophos Limited
421
Sophos Mobile
24.6.1 Activation de la synchronisation du jeu de clés
professionnel
Conditions préalables :
•
Vous devez utiliser Sophos SafeGuard Enterprise à partir de la version 8.0.
•
Vous avez configuré la gestion des utilisateurs externes pour le Portail libre-service en utilisant
la même base de données d’utilisateurs Active Directory que celle configurée dans SafeGuard
Enterprise.
•
Sophos Secure Workspace est administrée par Sophos Mobile. Une licence Mobile Advanced
est requise.
•
Votre serveur Sophos Mobile peut se connecter à votre serveur SafeGuard Enterprise par
HTTPS.
Pour activer la synchronisation du jeu de clés professionnel, vous devez établir la connexion entre
Sophos Mobile et Sophos SafeGuard Enterprise comme suit :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet SGN.
2. Cliquez sur le lien du Certificat pour télécharger le certificat du serveur Sophos Mobile.
3. Ouvrez SafeGuard Management Center et allez dans Outils > Outil de package de
configuration.
4. Dans l’onglet Serveurs, cliquez sur Ajouter, naviguez jusqu’au fichier de certificat et cliquez sur
OK. Ne modifiez pas le champ Nom du serveur.
5. Facultatif : Sélectionnez Récupération par mobile pour activer la synchronisation des clés de
récupération BitLocker et FileVault avec l’appli Sophos Secure Workspace.
6. Dans l’onglet Packages du client administré, configurez les paramètres suivants :
•
Dans le champ Nom du package de configuration, sélectionnez Client administré (par
défaut).
•
Dans le champ Serveur principal, sélectionnez votre serveur SGN.
• Dans le champ Chiffrement du transport, sélectionnez SSL.
7. Cliquez sur Créer un package de configuration.
8. Sur l’onglet SGN de Sophos Mobile Admin, cliquez sur Télécharger un fichier pour télécharger
sur Sophos Mobile le package de configuration que vous avez créé dans SafeGuard Management
Center.
9. Cliquez sur Enregistrer pour enregistrer les paramètres d’intégration de SafeGuard.
24.7 Configurer l’authentification multifacteur pour
Sophos Secure Email
Une fois l’authentification multifacteur (MFA) configurée pour Sophos Secure Email, les utilisateurs
accèdent à leurs comptes Exchange via la page d’ouverture de session Office 365 de votre entreprise.
Conditions préalables :
•
422
Vous utilisez Exchange Online.
Copyright © Sophos Limited
Sophos Mobile
•
Vous avez activé l’authentification multifacteur pour votre organisation dans Office 365.
Retrouvez plus de renseignements sur Configuration de l’authentification multifacteur
(documentation Microsoft).
•
Vos utilisateurs ont activé l’authentification multifacteur sur leurs appareils. Consultez Configurer
la vérification en deux étapes pour Office 365 (document Microsoft).
Pour configurer l’authentification multifacteur pour Sophos Secure Email, procédez comme suit :
1.
2.
3.
4.
5.
Connectez-vous au portail Microsoft Azure avec votre compte d’administrateur Azure.
Allez dans Inscriptions des applications .
Sélectionnez Nouvelle inscription.
Dans le champ Nom, saisissez un nom pour l’appli, par exemple Sophos Secure Email.
Dans URI de redirection, saisissez le texte suivant :
sophos://sse/auth
6. Cliquez sur Inscrire.
7. Sur la page de présentation de l’application, copiez la valeur affichée sous ID d’application
(client).
8.
9.
10.
11.
Vous aurez besoin de cette valeur et des valeurs de l’étape suivante ultérieurement.
Cliquez sur Points de terminaison, puis copiez les valeurs affichées sous Point de terminaison
d'autorisation OAuth 2.0 et Point de terminaison du jeton OAuth 2.0.
Sur la page de présentation de l’application, cliquez sur Autorisations de l’API > Ajouter une
autorisation > API utilisées par mon organisation.
Recherchez l’API Office 365 Exchange Online.
Sélectionnez Autorisations déléguées et sélectionnez les autorisations suivantes :
•
EAS.AccessAsUser.All (depuis la section EAS)
• EWS.AccessAsUser.All (depuis la section EWS)
12. Cliquez sur Ajouter des autorisations.
13. Sous Autorisations configurées, cliquez sur Accorder le consentement administrateur.
Effectuez les étapes suivantes dans Sophos Mobile Admin :
14. Allez dans Stratégies et modifiez la stratégie de conteneur Sophos qui contient la configuration
Email professionnel.
Si vous avez plusieurs stratégies avec une configuration Email professionnel, vous devrez
toutes les modifier.
15. Sous OAuth 2.0, configurez les paramètres suivants :
Option
Description
Activer OAuth 2.0
Sélectionnez ce paramètre.
Terminal d’autorisation
Saisissez la valeur affichée dans le portail Azure sous Point
de terminaison d’autorisation OAuth 2.0.
Client ID
Saisissez la valeur affichée dans le portail Azure sous ID
d’application (client).
Redirection URI
Saisissez le texte suivant :
sophos://sse/auth
Terminal token
Copyright © Sophos Limited
Saisissez la valeur affichée dans le portail Azure sous Point
de terminaison de jeton OAuth 2.0.
423
Sophos Mobile
16. Cliquez sur Appliquer et sur Enregistrer.
Sophos Secure Email commence à utiliser l’authentification Office 365 de votre organisation la
prochaine fois que l’appareil se connecte à Sophos Mobile.
Information associée
Configurer Multi-factor Authentification (documentation Microsoft)
Configurer la vérification en deux étapes pour Office 365 (documentation Microsoft)
Portail Microsoft Azure
424
Copyright © Sophos Limited
Sophos Mobile
25 Migration vers Sophos Central
L’assistant de migration déplace vos données de Sophos Mobile vers Sophos Central.
Retrouvez plus de renseignements dans le Guide de migration de Sophos Mobile.
Information associée
Sophos Mobile Guide de migration
Copyright © Sophos Limited
425
Sophos Mobile
26 Tâches du super administrateur
Certaines options de Sophos Mobile Admin sont uniquement disponibles si vous êtes connecté en tant
que super administrateur.
26.1 Configuration des certificats SSL/TLS
L’onglet SSL/TLS de la page Configuration de Sophos vous permet de configurer les certificats
SSL/TLS pour les connexions sécurisées entre le serveur Sophos Mobile et les clients.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.2 Configuration du proxy EAS
L’onglet Proxy EAS de la page Configuration de Sophos vous permet de configurer le serveur
proxy EAS utilisé pour filtrer le trafic de messagerie entre les appareils administrés et votre serveur
de messagerie.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.3 Configuration du contrôle d’accès réseau
L’onglet Contrôle d’accès réseau de la page Configuration de Sophos vous permet de configurer
la connexion à un système de contrôle d’accès réseau (NAC).
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.4 Configuration de la connexion au serveur de
messagerie
L’onglet SMTP de la page Configuration de Sophos vous permet de configurer la connexion au
serveur de messagerie SMTP.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
426
Copyright © Sophos Limited
Sophos Mobile
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.5 Configuration de la connexion au serveur
proxy
L’onglet Proxy HTTP de la page Configuration de Sophos vous permet de configurer la connexion
au serveur proxy que Sophos Mobile utilise pour les connexions HTTP et SSL/TLS.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.6 Configuration de l’accès au portail
L’onglet Portails Web de la page Configuration de Sophos vous permet de configurer l’accès à a
Sophos Mobile Admin et au Sophos Mobile Self Service Portal.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.7 Configuration des limites de téléchargement
de fichiers
L’onglet Téléchargements de fichiers de la page Configuration de Sophos vous permet de
configurer les limites de taille de fichier pour le téléchargement d’apps et de documents.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.8 Activation de la journalisation des audits
Sur l’onglet Journalisation d’audit de la page Configuration de Sophos, activez la journalisation
de toutes les actions effectuées par les utilisateurs dans Sophos Mobile Admin.
Pour afficher les entrées du journal, cliquez sur Journalisation d’audit sur la barre latérale du
menu.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
Copyright © Sophos Limited
427
Sophos Mobile
26.9 Création des messages système
L’onglet Messages système de la page Configuration de Sophos vous permet de créer des
messages système affichés sur les pages de connexion de Sophos Mobile Admin et du Portail libreservice.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.10 Gérer les clients
Si vous êtes un super administrateur, vous pouvez configurer les paramètres du client sur la page
Modification du client.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile.
Information associée
Guide du super administrateur de Sophos Mobile (anglais)
26.11 Recevoir l’actualité Sophos
Si vous êtes un super administrateur, vous pouvez choisir de recevoir toutes les actualités concernant
Sophos Mobile de la part de Sophos.
Ces actualités incluent :
•
Annonces de sortie de produit
•
Annonces de correctifs
•
Annonces de fin de cycle de vie
•
Notifications de sécurité
Sophos transmet les actualités à votre serveur Sophos Mobile une fois par jour. Pour y accéder,
cliquez sur Actualités sur la barre latérale du menu. Les nouvelles sont également envoyées par email aux administrateurs qui sont inscrits pour recevoir les e-mails d’erreur de Sophos Mobile.
Pour enregistrer un administrateur :
1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos
puis sur l’onglet SMTP.
2. Saisissez l’adresse e-mail de l’administrateur dans le champ Destinataires de l’email.
3. Cliquez sur Enregistrer.
428
Copyright © Sophos Limited
Sophos Mobile
26.12 Affichage de l’état de sécurité du système
Si vous êtes un super administrateur, vous pouvez afficher l’état de sécurité du système, c’est-à-dire
l’état du serveur et de la base de données Sophos Mobile.
Pour ouvrir la page Fonctionnement du système :
•
Sur le menu latéral, sous PARAMÈTRES, cliquez sur État de sécurité.
Copyright © Sophos Limited
429
Sophos Mobile
27 Glossaire
430
Profil d’enregistrement ad hoc
Un profil d’enregistrement de distribution que
vous ajoutez à une appli iOS développée en
interne. Ceci vous permet d’installer l’appli sur
les appareils désignés sans avoir à la publier sur
l’App Store.
client
Un client représente une zone d’administration
séparée dans Sophos Mobile. Vous pouvez créer
plusieurs clients et administrer les appareils de
chacun de vos clients séparément. Cette méthode
est appelée méthode mutualisée (multitenancy).
Inscription
L’enregistrement d’un appareil dans Sophos
Mobile.
App Store pour entreprise
Un répertoire d’applis hébergé sur le serveur
Sophos Mobile. L’administrateur peut utiliser
Sophos Mobile Admin pour ajouter des applis
dans l’App Store pour entreprise. Les utilisateurs
peuvent utiliser l’appli Sophos Mobile Control pour
installer ces applis sur leurs appareils.
Licence Mobile Advanced
Avec une licence de type Mobile Advanced, vous
pouvez gérer Sophos Intercept X for Mobile,
Sophos Secure Workspace et Sophos Secure
Email.
Approvisionnement
Le processus d’installation de l’appli Sophos
Mobile Control sur un appareil.
Portail libre-service
L’interface Web qui permet aux utilisateurs
d’inscrire leurs propres appareils et d’effectuer
les tâches sans avoir à contacter le service
d’assistance.
Client Sophos Mobile
L’appli Sophos Mobile Control installée sur les
appareils administrés par Sophos Mobile.
Console Sophos Mobile
L’interface Web utilisée pour administrer les
appareils.
Sophos Intercept X for Mobile
Une appli de sécurité pour les appareils Android,
les iPhones et les iPads. Pour administrer cette
appli avec Sophos Mobile, une licence Mobile
Advanced doit être activée.
Sophos Secure Email
Une appli pour appareils Android et pour les
iPhones et les iPads qui met à votre disposition
un conteneur sécurisé vous permettant
d’administrer vos emails, votre agenda et vos
contacts. Pour administrer cette appli avec
Sophos Mobile, une licence Mobile Advanced doit
être activée.
Sophos Secure Workspace
Une appli pour appareils Android, iPhones et
iPads qui vous permet de bénéficier d’un espace
Copyright © Sophos Limited
Sophos Mobile
de travail sécurisé à partir duquel vous pouvez
naviguer, gérer, modifier, partager, chiffrer et
déchiffrer des documents se trouvant chez
différents fournisseurs de stockage ou distribués
par votre entreprise. Pour administrer cette
appli avec Sophos Mobile, une licence Mobile
Advanced doit être activée.
Série de tâches
Vous créez un package pour regrouper plusieurs
tâches sous la même transaction. Vous pouvez
regrouper toutes les tâches nécessaires afin de
disposer d’un appareil inscrit et opérationnel.
Team ID
Chaque appli iOS et macOS est signée par un
Team ID. Le Team ID est fourni par Apple et
il est exclusif à une équipe de développement
spécifique.
Copyright © Sophos Limited
431
Sophos Mobile
28 Support technique
Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes :
432
•
Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et
recherchez d’autres utilisateurs rencontrant le même problème que le vôtre.
•
Rendez-vous sur la base de connaissances du support Sophos sur www.sophos.com/fr-fr/
support.aspx.
•
Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/documentation.aspx.
•
Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/supportquery.aspx.
Copyright © Sophos Limited
Sophos Mobile
29 Mentions légales
Copyright © 2020 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut
être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque
forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou
autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation
conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du
propriétaire du copyright.
Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos
Group et de Utimaco Safeware AG, partout où ceci est applicable. Tous les autres noms de produits
et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de
leurs propriétaires respectifs.
Copyright © Sophos Limited
433
">